2025-04 Patchday Microsoft

Quelle: microsoft.com

Heute ist der Microsoft Patch Tuesday im April 2025, der Sicherheitsupdates für 134 Schwachstellen enthält, darunter eine aktiv ausgenutzte Zero-Day-Schwachstelle.

Dieser Patch Tuesday behebt außerdem elf „kritische“ Schwachstellen, allesamt Schwachstellen bei der Ausführung von Remote-Code.

Die Anzahl der Fehler in jeder Schwachstellenkategorie ist unten aufgeführt:

• 49 Schwachstellen bei der Erhöhung von Berechtigungen
• 9 Schwachstellen bei der Umgehung von Sicherheitsfunktionen
• 31 Sicherheitslücken durch Remote-Code-Ausführung
• 17 Sicherheitslücken durch Offenlegung von Informationen
• 14 Sicherheitslücken durch Denial-of-Service
• 3 Sicherheitslücken durch Spoofing

In den oben genannten Zahlen sind die Mariner-Schwachstellen und 13 Microsoft Edge-Schwachstellen, die Anfang des Monats behoben wurden, nicht enthalten.

Eine aktiv ausgenutzte Zero-Day-Schwachstelle

Der diesmonatige Patch Tuesday behebt eine aktiv ausgenutzte Zero-Day-Schwachstelle. Microsoft stuft eine Zero-Day-Schwachstelle als öffentlich bekannt oder aktiv ausgenutzt ein, solange keine offizielle Lösung verfügbar ist.

Die aktiv ausgenutzte Zero-Day-Schwachstelle in den heutigen Updates ist:

Windows Common Log File System-Treiber-Schwachstelle mit erhöhten Berechtigungen (CVE-2025-29824)

Hierbei handelt es sich um eine „Use After Free“-Schwachstelle (UAF) im Windows Common Log File System (CLFS)-Treiber. UAF-Probleme treten auf, wenn auf freigegebenen Speicher erneut zugegriffen wird, was zu unvorhersehbarem Verhalten führt. In diesem Fall behandelt der CLFS-Treiber den Speicher falsch, sodass ein Angreifer den Speicherzustand manipulieren kann. Der Fehler liegt in der Art und Weise, wie der Treiber bei der Verarbeitung von Protokolldateien Speicher zuweist und freigibt, wodurch es möglich wird, beliebigen Code im Kontext des Treibers auszuführen, der mit erhöhten Berechtigungen ausgeführt wird.

Betroffene Systeme

• Windows 10 (32-Bit und x64)
• Windows 11
• Windows Server 2012 und höher

Diese Sicherheitslücke ist von großer Bedeutung, da sie eine Kernkomponente von Windows betrifft und sich auf eine Vielzahl von Umgebungen auswirkt, darunter Unternehmenssysteme und kritische Infrastrukturen.

Wenn sie ausgenutzt wird, ermöglicht sie eine Privilegienerweiterung auf SYSTEM-Ebene – die höchste Privilegienstufe auf einem Windows-System. Ein Angreifer könnte:

• Schadsoftware installieren
• Systemdateien und Registrierungseinstellungen ändern
• Sicherheitsfunktionen deaktivieren
• Auf sensible Daten zugreifen
• Dauerhaften Zugriff aufrechterhalten

Dies könnte zu einer vollständigen Systemkompromittierung und lateraler Ausbreitung über Netzwerke hinweg führen.

CVSS-Übersicht

• CVSS-Score: 7,8 (Basis) / 7,2 (zeitlich)
• Angriffsvektor: Lokal
• Angriffskomplexität: Niedrig
• Erforderliche Berechtigungen: Niedrig
• Benutzerinteraktion: Keine

Ausnutzbarkeit

• • In freier Wildbahn ausgenutzt: Ja
• Proof of Concept verfügbar: Wahrscheinlich, da auf funktionalen Exploit-Code verwiesen wird

Ausnutzungsszenarien

1. 1. Eigenständige Ausnutzung Ein lokaler Angreifer könnte böswillige Eingaben vornehmen, um die Schwachstelle auszulösen und Code mit SYSTEM-Berechtigungen auszuführen.
2. Verkettete Ausnutzung Sie könnte mit Schwachstellen bei der Remotecodeausführung kombiniert oder durch Software von Drittanbietern ausgenutzt werden, die mit dem CLFS-Treiber interagiert, wodurch ein mehrstufiger Angriffspfad entsteht.

Diese Schwachstelle wird bereits ausgenutzt, und aufgrund ihrer geringen Komplexität und hohen Auswirkungen bleibt sie ein ernstes Problem.

Mehrere Microsoft Office-Schwachstellen: Überblick

• CVE-2025-29791 ist eine Typverwechslungsschwachstelle, die als „Access of Resource Using Incompatible Type“ (CWE-843) klassifiziert ist. Sie tritt auf, wenn die Anwendung mit einem falschen Typ auf eine Ressource zugreift, was zu unbeabsichtigtem Verhalten und möglicherweise zur Ausführung von Code führen kann.
• CVE-2025-27749, CVE-2025-27748 und CVE-2025-27745 sind Use-after-free-Schwachstellen (UAF) (CWE-416). Diese treten auf, wenn auf bereits freigegebenen Speicher erneut zugegriffen wird, was zu einer Beschädigung des Speichers führt und möglicherweise die Ausführung von beliebigem Code ermöglicht.

Mögliche Auswirkungen

• Remote Code Execution: Angreifer könnten beliebigen Code auf dem betroffenen System ausführen.
• Datendiebstahl: Der Zugriff auf sensible Daten ist möglich.
• Malware-Installation: Es könnte schädliche Software eingesetzt werden.
• Systemübernahme: Durch die Ausführung von Code ist die vollständige Kontrolle über das System möglich.

CVSS-Übersicht

• Score: 7,8 (Base) / 6,8 (Temporal)
• Vektor: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
• Angriffsvektor: Lokal
• Angriffskomplexität: Niedrig
• Erforderliche Berechtigungen: Keine
• Benutzerinteraktion: Erforderlich

Diese Schwachstellen werden derzeit nicht in freier Wildbahn ausgenutzt. Es gibt keinen öffentlichen Proof of Concept.

Ausnutzungsszenarien

• Öffnen einer schädlichen Datei: Ein Angreifer könnte eine schädliche Excel-Datei erstellen. Beim Öffnen könnte sie eine der Schwachstellen auslösen. Bei CVE-2025-29791 würde dies eine Typverwechslung beinhalten. Bei den UAF-Schwachstellen (CVE-2025-27749, CVE-2025-27748, CVE-2025-27745) würde dies den Zugriff auf freigegebenen Speicher beinhalten, was zu einer Beschädigung des Speichers und zur Ausführung von Code führen würde.
• Verkettung mit anderen Schwachstellen: Diese Probleme könnten mit Social Engineering oder anderen Schwachstellen für die Ausführung von Remote-Code kombiniert werden. Beispielsweise könnte eine Phishing-E-Mail verwendet werden, um einen Benutzer dazu zu verleiten, eine schädliche Datei zu öffnen, die dann eine dieser Schwachstellen ausnutzt. Sie könnten auch mit anderen Exploits verkettet werden, um Berechtigungen zu erweitern oder sich lateral innerhalb eines Netzwerks zu bewegen.

Microsoft Office ist in Unternehmen weit verbreitet, was bedeutet, dass das potenzielle Risiko erheblich ist.

Die erforderliche Interaktion des Benutzers erschwert die Sache zwar, doch Angreifer setzen oft auf Social Engineering, um sie zu überwinden. In einigen Fällen könnte der Vorschaubereich als Angriffsvektor dienen, sodass die Schwachstelle ausgelöst werden kann, ohne die Datei explizit zu öffnen.

Zwei Schwachstellen im Remote Desktop Gateway: Überblick

• CVE-2025-27482 betrifft die „Speicherung sensibler Daten in nicht ordnungsgemäß gesperrtem Speicher“ (CWE-591). Dies tritt auf, wenn sensible Daten in einem nicht ordnungsgemäß gesperrten Speicher gespeichert werden, was möglicherweise unbefugten Zugriff und die Ausführung von Code ermöglicht.
• CVE-2025-27480 ist eine „Use-after-free“-Schwachstelle (UAF) (CWE-416). Sie entsteht, wenn auf Speicher zugegriffen wird, nachdem dieser freigegeben wurde, was zu einer Beschädigung des Speichers und der Ausführung von beliebigem Code führen kann.

Beide Schwachstellen betreffen den Remote Desktop Gateway-Dienst, eine Schlüsselkomponente der Windows Remote Desktop Services, die für den Fernzugriff und die Fernverwaltung verwendet wird.

Mögliche Auswirkungen

• Remotecodeausführung: Angreifer könnten beliebigen Code auf dem betroffenen System ausführen.
• Datenmissbrauch: Im entsperrten Speicher gespeicherte sensible Daten könnten offengelegt werden.
• Systemkompromittierung: Die vollständige Kontrolle über das System ist möglich, was zu unbefugtem Zugriff, Datendiebstahl und Malware-Installation führen kann.
• Seitliche Bewegung: Diese Schwachstellen könnten als Einstiegspunkt dienen, um sich über ein Netzwerk zu bewegen und weitere Systeme zu kompromittieren.

CVSS-Übersicht

• Score: 8,1 (Basis) / 7,1 (zeitlich)
• Vektor: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
• Angriffsvektor: Netzwerk
• Angriffskomplexität: Hoch (erfordert eine Race-Condition)
• Erforderliche Berechtigungen: Keine
• Benutzerinteraktion: Keine

Diese Schwachstellen werden derzeit nicht in freier Wildbahn ausgenutzt, und es wurde kein Proof of Concept veröffentlicht. Das Tag „Ausnutzung wahrscheinlicher“ deutet jedoch auf eine höhere Wahrscheinlichkeit einer zukünftigen Ausnutzung hin, sobald technische Details veröffentlicht werden.

Ausnutzungsszenarien

• CVE-2025-27482: Ein Angreifer könnte sich mit einem System verbinden, auf dem die Remote Desktop Gateway-Rolle ausgeführt wird, und eine Race-Condition auslösen, um auf sensible Daten in nicht ordnungsgemäß gesperrtem Speicher zuzugreifen, was zur Ausführung von Code führt.
• CVE-2025-27480: Diese Schwachstelle könnte ausgenutzt werden, indem durch ein Race-Szenario eine Use-After-Free-Bedingung geschaffen wird, die die Ausführung von beliebigem Code ermöglicht.
• Verkettete Angriffe: Diese Schwachstellen könnten zusammen mit anderen Exploits – wie Social Engineering oder zusätzlichen Fehlern bei der Ausführung von Remote-Code – genutzt werden, um sich einen ersten Zugang zu verschaffen, Berechtigungen zu erweitern oder sich innerhalb eines Netzwerks zu bewegen.

Trotz der hohen Komplexität der Angriffe sind diese Schwachstellen besonders besorgniserregend, da keine erforderlichen Berechtigungen und keine Benutzerinteraktion erforderlich sind. Während das Auslösen einer Race-Condition zuverlässig Aufwand erfordert, können Angreifer im Laufe der Zeit funktionierenden Exploit-Code entwickeln, was das Risiko einer Ausnutzung erhöht.

Zwei LDAP-Schwachstellen: Überblick

CVE-2025-26670 und CVE-2025-26663 werden als Use-after-free-Schwachstellen (UAF) (CWE-416) eingestuft. Diese treten auf, wenn auf bereits freigegebenen Speicher erneut zugegriffen wird, was zu einer Beschädigung des Speichers führt und möglicherweise die Ausführung von beliebigem Code ermöglicht. Diese spezifischen Schwachstellen betreffen den Windows LDAP-Client und ermöglichen es einem Angreifer aus der Ferne, Code über das Netzwerk auszuführen. Da LDAP in Unternehmensumgebungen häufig für die Authentifizierung und den Verzeichniszugriff verwendet wird, können die Auswirkungen erheblich sein.

Mögliche Auswirkungen

• Remote Code Execution: Angreifer könnten beliebigen Code auf dem betroffenen System ausführen und so die Installation von Malware, Systemänderungen oder unbefugten Zugriff ermöglichen.
• Datenschutzverletzung: Auf dem System oder in den Verzeichnisdiensten gespeicherte vertrauliche Informationen könnten offengelegt werden.
• Systemkompromittierung: Mit RCE könnte ein Angreifer die vollständige Kontrolle über das System übernehmen, sich lateral im Netzwerk bewegen und zusätzliche Nutzlasten bereitstellen.
• Dienstunterbrechung: Die Ausnutzung dieser Schwachstellen könnte Dienste, die auf den LDAP-Client angewiesen sind, destabilisieren oder zum Absturz bringen.

CVSS-Übersicht

• Score: 8,1 (Basis) / 7,1 (zeitlich)
• Vektor: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
• Angriffsvektor: Netzwerk
• Angriffskomplexität: Hoch (beinhaltet eine Race-Condition)
• Erforderliche Berechtigungen: Keine
• Benutzerinteraktion: Keine

Diese Schwachstellen werden derzeit nicht in freier Wildbahn ausgenutzt, und es wurde kein Proof of Concept veröffentlicht. Sie sind jedoch als „Ausnutzung wahrscheinlicher“ gekennzeichnet, was bedeutet, dass das Risiko einer Ausnutzung steigt, sobald technische Details öffentlich werden.

Ausnutzungsszenarien

Ein nicht authentifizierter Angreifer könnte eine Folge speziell gestalteter Anfragen an einen anfälligen LDAP-Server senden und so eine „Use-after-free“-Bedingung auslösen. Bei Erfolg könnte dies zur Ausführung von Remote-Code führen. Der Angriff beruht auf dem Gewinn einer Race-Condition, was die Komplexität erhöht, eine Ausnutzung jedoch nicht unmöglich macht.

Verknüpfung mit anderen Schwachstellen

Diese Probleme könnten mit anderen Schwachstellen kombiniert werden – wie z. B. solchen, die durch Phishing oder zusätzliche Fehler bei der Ausführung von Remote-Code ausgenutzt werden –, um komplexere Angriffsketten aufzubauen. Ein Angreifer könnte beispielsweise über diese LDAP-Schwachstellen einen ersten Zugriff erlangen und dann andere Exploits nutzen, um seine Berechtigungen zu erweitern oder sich im Netzwerk auszubreiten.

Obwohl der Angriff Präzision und Timing erfordert, sind diese Schwachstellen besonders gefährlich, da die erforderlichen Berechtigungen oder die Interaktion des Benutzers fehlen. Mit der Zeit könnten Angreifer zuverlässige Methoden entwickeln, um die Race-Condition auszulösen, wodurch die Wahrscheinlichkeit einer erfolgreichen Ausnutzung steigt.

Die Sicherheitsupdates vom Patchday im April 2025

Nachfolgend finden Sie die vollständige Liste der behobenen Schwachstellen in den Updates vom Patchday im April 2025.