Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Microsoft August-Patchday: : Kerberos Zero-Day und 111 neue Sicherheitslücken

Der August-Patchday 2025 bringt 111 Sicherheitsupdates für Microsoft-Produkte, darunter 16 kritische Lücken. Besonders brisant: eine öffentlich bekannte Kerberos-Zero-Day-Schwachstelle namens „BadSuccessor“, die Active-Directory-Domänen kompromittieren kann. Unternehmen sollten umgehend handeln.

THN/Stefan Mutschler (freier Journalist)AllgemeinBedrohungen
Lesezeit 3 Min.
laptop computer with updating screen
Foto: ©AdobeStock/ClaudioMarcelo

Microsoft hat am Patch Tuesday im August 2025 insgesamt 111 Sicherheitslücken in seinem Produktportfolio geschlossen. Darunter befinden sich 16 als kritisch eingestufte Schwachstellen, 92 mit der Bewertung „wichtig“, zwei mit „moderat“ und eine mit „niedrig“. Die Angriffe, die diese Lücken ausnutzen, umfassen:

  • Privilegienerweiterung (44 Fälle)
  • Remote Code Execution (35 Fälle)
  • Informationsoffenlegung (18 Fälle)
  • Spoofing (8 Fälle)
  • Denial-of-Service (4 Fälle)

Zusätzlich wurden seit dem letzten Patchday 16 weitere Lücken in Microsofts Chromium-basiertem Edge-Browser behoben, darunter zwei Spoofing-Fehler in der Android-Version.

Kerberos Zero-Day „BadSuccessor“

Besondere Aufmerksamkeit erfordert CVE-2025-53779 – eine bereits öffentlich bekannte Schwachstelle im Windows-Kerberos-System mit einem CVSS-Score von 7,2. Sie basiert auf relativem Pfad-Traversal und wurde erstmals im Mai 2025 von Akamai dokumentiert.

Der Angriffsvektor zielt auf delegierte Managed Service Accounts (dMSA) ab. Hat ein Angreifer bereits Kontrolle über die beiden Attribute msds-groupMSAMembership und msds-ManagedAccountPrecededByLink, kann er fehlerhafte Delegationsbeziehungen anlegen, privilegierte Konten imitieren und bis zum Domain-Administrator eskalieren.Damit hätte er dann volle Kontrolle über die AD-Domain.

Sicherheitsforscher warnen, dass die Lücke als letzter Schritt einer mehrstufigen Angriffskette eingesetzt werden könnte – etwa in Verbindung mit Techniken wie Kerberoasting oder Silver Ticket, um Persistenz zu sichern. Mit Domain-Admin-Rechten lassen sich Sicherheitsüberwachung deaktivieren, Gruppenrichtlinien verändern und Audit-Logs manipulieren. In Multi-Forest-Umgebungen ist sogar eine laterale Bewegung in andere Domänen möglich.

Satnam Narang, leitender Forschungsingenieur bei Tenable, erklärte, dass die unmittelbaren Auswirkungen von BadSuccessor begrenzt seien, da zum Zeitpunkt der Offenlegung nur 0,7 Prozent aller Active-Directory-Domänen die erforderlichen Voraussetzungen erfüllten. Um BadSuccessor auszunutzen, müsse ein Angreifer über mindestens einen Domänencontroller in einer Domäne verfügen, auf der Windows Server 2025 läuft, um eine vollständige Kompromittierung der Domäne zu erreichen.

Weitere wichtige Schwachstellen

Zu den bemerkenswerten kritischen Lücken zählen:

  • CVE-2025-53767 (CVSS 10,0) – Azure OpenAI Privilegienerweiterung
  • CVE-2025-53766 (CVSS 9,8) – GDI+ Remote Code Execution
  • CVE-2025-50165 (CVSS 9,8) – Windows Graphics Component Remote Code Execution
  • CVE-2025-53792 (CVSS 9,1) – Azure Portal Privilegienerweiterung
  • CVE-2025-53787 (CVSS 8,2) – Microsoft 365 Copilot BizChat Informations¬offenlegung
  • CVE-2025-50177 (CVSS 8,1) – Microsoft Message Queuing Remote Code Execution

Die Cloud-bezogenen Lücken in Azure OpenAI, Azure Portal und Microsoft 365 Copilot BizChat wurden laut Microsoft bereits serverseitig behoben und erfordern keine Maßnahmen der Kunden.

Das israelische Unternehmen Check Point, das die Sicherheitslücken CVE-2025-53766 und CVE-2025-30388 veröffentlicht hat, warnt: Beide Schwachstellen erlauben es Angreifern, beliebigen Code auf einem betroffenen System auszuführen und so die vollständige Kontrolle zu übernehmen.

Der Angriff läuft über eine speziell manipulierte Datei. Sobald ein Nutzer diese Datei öffnet oder verarbeitet, wird der Fehler ausgelöst – der Angreifer kann dann das System übernehmen.

Das Unternehmen entdeckte außerdem einen Fehler in einer auf Rust basierenden Komponente des Windows-Kernels. Dieser kann zu einem Systemabsturz und anschließend zu einem erzwungenen Neustart führen.

Gerade in Unternehmen mit vielen oder verteilten Arbeitsplätzen ist das Risiko hoch: Angreifer könnten zahlreiche Rechner gleichzeitig abstürzen lassen, was zu massiven Störungen und hohen Ausfallkosten führen würde. Die Experten betonen, dass auch moderne, sichere Programmiersprachen wie Rust keinen vollständigen Schutz bieten – regelmäßige Updates und ständige Wachsamkeit bleiben unerlässlich.

Neue Bedrohungen durch bekannte Techniken

Ein weiteres Update betrifft CVE-2025-50154, eine Spoofing-Lücke zur Offenlegung von NTLM-Hashes. Sie umgeht den im März 2025 behobenen Fehler CVE-2025-24054 und ermöglicht es Angreifern, NTLM-Authentifizierungen ohne Benutzerinteraktion auszulösen. Die so gewonnenen Hashes können offline geknackt oder für Relay-Angriffe genutzt werden.

Auch in der Windows-Kernel-Implementierung von Rust wurde eine Schwachstelle entdeckt, die einen Systemabsturz und erzwungenen Neustart auslösen kann. Laut Check Point könnte dies in großen Unternehmensumgebungen massive Ausfälle verursachen, wenn viele Systeme gleichzeitig betroffen sind.

Handlungsempfehlung für Unternehmen

  • Sofortige Installation aller August-Updates auf Windows-Servern, Clients und Exchange-Instanzen
  • Besondere Priorisierung der Patches für CVE-2025-53779 (Kerberos) und CVE-2025-53766 (GDI+)
  • Überprüfung von Active Directory auf riskante dMSA-Konfigurationen
  • Härtung von privilegierten Konten und Einsatz von Monitoring für ungewöhnliche Authentifizierungsversuche
  • Sicherheitsbewertung für Systeme, die potenziell von NTLM-Hash-Exfiltration betroffen sind

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.