2025-03 Patchday Microsoft

Quelle: microsoft.com

Microsoft März 2025 Patch Tuesday behebt 7 Zero-Days und 57 Schwachstellen

Es ist Microsofts März 2025 Patch Tuesday, der Sicherheitsupdates für 57 Schwachstellen enthält, darunter sechs aktiv ausgenutzte Zero-Day-Schwachstellen.

An diesem Patch-Dienstag werden außerdem sechs "kritische" Sicherheitslücken behoben, bei denen es sich um Sicherheitslücken handelt, die Remotecodeausführung ermöglichen.

Die Anzahl der Fehler in den einzelnen Sicherheitskategorien ist unten aufgeführt:

• 23 Anfälligkeiten für die Erhöhung von Privilegien
• 3 Anfälligkeiten für die Umgehung von Sicherheitsfunktionen
• 23 Sicherheitslücken durch Remotecode-Ausführung
• 4 Schwachstellen in Bezug auf die Offenlegung von Informationen
• 1 Denial-of-Service-Schwachstellen
• 3 Spoofing-Schwachstellen

In den oben genannten Zahlen sind die Mariner-Schwachstellen und die 10 Microsoft Edge-Schwachstellen, die Anfang dieses Monats behoben wurden, nicht enthalten.

Sechs aktiv ausgenutzte Sicherheitslücken

Der diesmonatige Patch Tuesday behebt sechs aktiv ausgenutzte Zero-Days und einen, der öffentlich bekannt wurde, insgesamt also sieben Zero-Days.

Microsoft stuft einen Zero-Day-Fehler als öffentlich bekannt oder aktiv ausgenutzt ein, solange kein offizieller Fix verfügbar ist.

Einige der aktiv ausgenutzten Zero-Days stehen im Zusammenhang mit Windows NTFS-Fehlern, die das Mounten von VHD-Laufwerken betreffen.

Die aktiv ausgenutzten Zero-Day-Schwachstellen in den heutigen Updates sind:

CVE-2025-24983 - Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability

Laut Microsoft ermöglicht diese Sicherheitsanfälligkeit lokalen Angreifern die Erlangung von SYSTEM-Privilegien auf dem Gerät, nachdem sie eine Race Condition gewonnen haben.

Microsoft hat nicht mitgeteilt, wie die Schwachstelle in Angriffen ausgenutzt wurde. Da die Schwachstelle jedoch von Filip Jurčacko von ESET entdeckt wurde, werden wir wahrscheinlich in einem zukünftigen Bericht mehr erfahren.

CVE-2025-24984 - Windows NTFS Information Disclosure Vulnerability

Laut Microsoft kann diese Schwachstelle von Angreifern ausgenutzt werden, die physischen Zugriff auf das Gerät haben und ein bösartiges USB-Laufwerk einstecken.

Durch Ausnutzung der Schwachstelle können Angreifer Teile des Heap-Speichers lesen und Informationen stehlen.

Microsoft sagt, dass diese Schwachstelle anonym bekannt gemacht wurde.

• Betroffene Systeme: Alle Windows-Systeme, die NTFS verwenden und in Unternehmensumgebungen weit verbreitet sind.
• Auswirkungen: Angreifer mit physischem Zugriff können Teile des Heap-Speichers extrahieren und so möglicherweise vertrauliche Informationen wie kryptografische Schlüssel, Token oder zwischengespeicherte Anmeldeinformationen abrufen.
• CVSS-Score: Basis 4.6, Temporal 4.3
• Öffentlich bekannt gegeben: Nein
• In freier Wildbahn ausgenutzt: Ja ("Exploitation Detected")
• Proof of Concept (PoC): Gibt es wahrscheinlich im privaten Kreis von Bedrohungsakteuren.

Details zur Ausnutzung:

• Angriffsvektor: Physisch (erfordert direkten Zugriff, z. B. über USB-Stecker).
• Komplexität des Angriffs: Gering
• Erforderliche Privilegien: Keine

CVE-2025-24985 - Windows Fast FAT File System Driver - Sicherheitsanfälligkeit bei Remotecodeausführung

Laut Microsoft wird diese Sicherheitsanfälligkeit für Remotecodeausführung durch einen Integer-Überlauf oder Wraparound im Windows Fast FAT-Treiber verursacht, der es einem Angreifer ermöglicht, Code auszuführen.

"Ein Angreifer kann einen lokalen Benutzer auf einem anfälligen System dazu bringen, eine speziell gestaltete VHD zu mounten, die dann die Sicherheitslücke auslöst", erklärt Microsoft.

Microsoft hat zwar keine Einzelheiten darüber bekannt gegeben, wie die Schwachstelle ausgenutzt wurde, aber bösartige VHD-Images wurden zuvor in Phishing-Angriffen und über Raubkopien-Websites verbreitet.

Microsoft sagt, dass diese Schwachstelle anonym bekannt gemacht wurde.

• Betroffene Systeme: Alle Windows-Systeme, die FAT/FAT32 unterstützen (weit verbreitet für ältere Kompatibilität und Wechselspeicher).
• Auswirkungen: Kompromittierung des gesamten Systems durch Ausführung auf Kernel-Ebene.
• CVSS-Score: Base 7.8, Temporal 7.2
• Öffentlich bekannt gegeben: Nein
• In freier Wildbahn ausgenutzt: Ja
• PoC: Wahrscheinlich in Kreisen fortgeschrittener Bedrohungsakteure aktiv.

Details zur Ausnutzung:

• Angriffsvektor: Lokal (bösartige FAT-formatierte VHD-Datei).
• Komplexität des Angriffs: Niedrig
• Erforderliche Privilegien: Keine
• Benutzer-Interaktion: Erforderlich (das Opfer muss die bösartige VHD mounten).

CVE-2025-24991 - Windows NTFS Information Disclosure Vulnerability

Laut Microsoft können Angreifer diese Schwachstelle ausnutzen, um kleine Teile des Heap-Speichers zu lesen und Informationen zu stehlen.

Angreifer können die Schwachstelle ausnutzen, indem sie einen Benutzer dazu verleiten, eine bösartige VHD-Datei zu mounten.

Microsoft sagt, dass diese Schwachstelle anonym bekannt gemacht wurde.

• Betroffene Systeme: Alle Windows-Systeme, die NTFS verwenden.
• Auswirkungen: Mögliche Offenlegung sensibler Kernel-Daten, einschließlich kryptografischer Schlüssel, Token und Dateiinhalte.
• CVSS-Score: Base 5.5, Temporal 5.1
• Öffentlich bekannt gegeben: Nein
• In freier Wildbahn ausgenutzt: Ja
• PoC: Wahrscheinlich unter Bedrohungsakteuren verfügbar.

Details zur Ausnutzung:

• Angriffsvektor: Lokal (böswillig erstellte VHD-Datei).
• Komplexität des Angriffs: Gering
• Erforderliche Privilegien: Keine
• Benutzer-Interaktion: Erforderlich (das Opfer muss die bösartige VHD mounten).

CVE-2025-24993 - Windows NTFS-Schwachstelle für Remotecodeausführung

Laut Microsoft wird diese Sicherheitsanfälligkeit für Remotecodeausführung durch einen Heap-basierten Pufferüberlauf in Windows NTFS verursacht, der einem Angreifer die Ausführung von Code ermöglicht.

"Ein Angreifer kann einen lokalen Benutzer auf einem anfälligen System dazu bringen, eine speziell gestaltete VHD zu mounten, die dann die Sicherheitslücke auslöst", erklärt Microsoft.

Microsoft sagt, dass diese Schwachstelle anonym bekannt gemacht wurde.

• Betroffene Systeme: Alle Windows-Systeme, die NTFS verwenden.
• Auswirkungen: Vollständige Systemkompromittierung; Code-Ausführung mit Berechtigungen auf Treiberebene kann Zugriff auf die Kernel-Ebene ermöglichen.
• CVSS-Score: Base 7.8, Temporal 7.2
• Öffentlich bekannt gegeben: Nein
• In freier Wildbahn ausgenutzt: Ja (aktive Ausnutzung entdeckt)
• PoC: Höchstwahrscheinlich, da die Ausnutzung bestätigt wurde.

Details zur Ausnutzung:

• Angriffsvektor: Lokal (böswillig erstellte VHD-Datei).
• Komplexität des Angriffs: Niedrig
• Erforderliche Privilegien: Keine (die Privilegien des Opfers reichen aus).
• Benutzerinteraktion: Erforderlich (das Opfer muss die bösartige VHD mounten).

CVE-2025-26633 - Microsoft Management Console Security Feature Bypass Vulnerability

Microsoft hat zwar keine Einzelheiten zu dieser Schwachstelle bekannt gegeben, doch der Beschreibung nach könnte es sich um einen Fehler handeln, der es böswilligen Microsoft Management Console (.msc)-Dateien ermöglicht, die Windows-Sicherheitsfunktionen zu umgehen und Code auszuführen.

"In einem E-Mail- oder Instant-Messaging-Angriffsszenario könnte der Angreifer dem anvisierten Benutzer eine speziell gestaltete Datei senden, mit der die Sicherheitslücke ausgenutzt werden kann", erklärt Microsoft.

"In jedem Fall hätte ein Angreifer keine Möglichkeit, einen Benutzer dazu zu zwingen, vom Angreifer kontrollierte Inhalte anzusehen. Stattdessen müsste ein Angreifer den Benutzer zu einer Aktion überreden. Beispielsweise könnte ein Angreifer einen Benutzer dazu verleiten, entweder auf einen Link zu klicken, der den Benutzer auf die Website des Angreifers leitet, oder einen bösartigen Anhang zu senden."

Laut Microsoft hat Aliakbar Zahravi von Trend Micro diese Schwachstelle entdeckt.

Auswirkung

• Angreifer können die Sicherheitsfunktionen umgehen und so unbefugte Aktionen ausführen.
• Von MMC erzwungene Sicherheitsrichtlinien können umgangen werden, was zu langfristiger Persistenz und heimlichen bösartigen Aktivitäten führen kann.
• Kann mit anderen Einstiegsschwachstellen (z. B. browser- oder dokumentenbasierten Exploits) kombiniert werden, um vor eskalierenden Angriffen Fuß zu fassen.

CVSS-Metriken (CVSS 3.1 Score: Base 7.0, Temporal 6.5)

• Angriffsvektor: Lokal (Angreifer müssen ihre Nutzdaten auf dem System des Opfers ausführen, oft über Social Engineering oder File-Sharing).
• Angriffskomplexität: Hoch (Die Ausnutzung erfordert eine präzise Einrichtung und Ausrichtung, was eine massenhafte Ausnutzung unwahrscheinlich macht).
• Erforderliche Privilegien: Keine (Angreifer benötigen keine vorherigen Systemberechtigungen, um diese Schwachstelle auszunutzen).
• Benutzerinteraktion: Erforderlich (Die Opfer müssen eine bösartige MMC-Datei öffnen, die in der Regel durch Phishing oder Social Engineering bereitgestellt wird).

Ausnutzungsstatus

• Öffentliche Bekanntgabe: Nein (Details sind noch nicht bekannt, was weit verbreitete Angriffe vorerst einschränkt).
• In freier Wildbahn ausgenutzt: Ja (Microsoft hat bestätigt, dass die Schwachstelle in der Praxis ausgenutzt wird.)
• Proof of Concept (PoC): Existiert (Bestätigte funktionale Ausnutzung, jedoch nicht öffentlich verfügbar).

CVE-2025-26630 - Microsoft Access-Schwachstelle mit Remotecode-Ausführung

Laut Microsoft wird diese Schwachstelle bei der Remotecodeausführung durch einen Fehler bei der Verwendung von freiem Speicher in Microsoft Office Access verursacht.

Um die Schwachstelle auszunutzen, muss ein Benutzer dazu verleitet werden, eine speziell gestaltete Access-Datei zu öffnen. Dies kann durch Phishing- oder Social-Engineering-Angriffe geschehen.

Die Schwachstelle kann jedoch nicht über das Vorschaufenster ausgenutzt werden.

Laut Microsoft wurde die Schwachstelle von Unpatched.ai entdeckt.

Betroffene Systeme

Alle unterstützten Versionen von Microsoft Access, einer weit verbreiteten Komponente der Microsoft Office-Suite für die Datenbankverwaltung.

Ausnutzungsdetails

• Angriffsvektor: Lokal (Die Nutzlast wird auf dem Gerät des Opfers ausgeführt; Angreifer müssen Benutzer dazu bringen, bösartige Dateien zu öffnen).
• Komplexität des Angriffs: Gering (Sobald ein Opfer eine manipulierte Access-Datei öffnet, erfolgt die Ausführung zuverlässig ohne zusätzliche Bedingungen).
• Erforderliche Privilegien: Keine (Angreifer benötigen keinen vorherigen Systemzugriff, so dass Standard-Benutzerkonten angreifbar sind.)
• Benutzerinteraktion: Erforderlich (Das Opfer muss eine bösartige Access-Datei öffnen, die in der Regel über Phishing oder Social Engineering bereitgestellt wird).

Schweregrad und Ausnutzungsstatus

• CVSS Base Score: 7.8 (Hoch)
• CVSS Temporal Score: 6.8
• Öffentlich bekannt gegeben: Ja (Details sind öffentlich bekannt, was das Risiko eines Angriffs erhöht.)
• Exploited in the Wild: Nein (Es wurden noch keine bestätigten Angriffe beobachtet.)
• Bewertung der Ausnutzbarkeit: Weniger wahrscheinlich (Obwohl die Schwachstelle unter kontrollierten Bedingungen leicht auszunutzen ist, könnten Angreifer derzeit anderen Schwachstellen den Vorzug geben).
• Proof of Concept (PoC): Potenziell verfügbar (Die öffentliche Bekanntgabe deutet darauf hin, dass PoC-Code privat oder unter Sicherheitsforschern existiert.)

Die Sicherheitsupdates vom Patchday im März 2025

Nachfolgend finden Sie die vollständige Liste der behobenen Schwachstellen in den Updates vom Patchday im März 2025.