Microsoft Patch Tuesday im Juli 2025: Keine Zero-Days, aber kritische Lücken : Kritische Schwachstellen trotz Null Zero-Days: Microsofts Juli-Update im Fokus

Microsofts monatlicher Patchday am 9. Juli 2025 markiert einen Bruch mit der jüngsten Tradition: Zum ersten Mal seit elf Monaten enthält das Sicherheitsupdate keine Korrekturen für Schwachstellen, die aktiv ausgenutzt werden. Dennoch wurde eine Schwachstelle öffentlich bekannt, bevor ein Patch verfügbar war – ein Warnsignal für Sicherheitsteams weltweit.

Laut Satnam Narang, Senior Staff Research Engineer bei Tenable, endet damit eine ungewöhnlich lange Serie von monatlichen Zero-Day-Fixes. Dennoch bleibt die Dringlichkeit hoch: Insgesamt werden 130 Schwachstellen behoben. Hinzu kommen Fixes für zehn weitere Sicherheitslücken in Drittanbieterkomponenten wie Visual Studio, AMD-Treibern und dem auf Chromium basierenden Microsoft-Edge-Browser.

Privilegienerweiterung und Remote-Code-Ausführung dominieren

Die Juli-Patches betreffen eine breite Palette sicherheitsrelevanter Funktionen. Besonders häufig sind Schwachstellen in folgenden Kategorien:

• 53 Schwachstellen zur Privilegienerweiterung
• 42 zur Remote-Code-Ausführung
• 17 zur Informationsoffenlegung
• 8 Umgehungen von Sicherheitsfunktionen

Darüber hinaus wurden zwei Sicherheitslücken im Microsoft Edge bereits im Vorfeld des Patchdays geschlossen.

Öffentlich bekannte Lücke in SQL Server

Eine besonders brisante Schwachstelle (CVE-2025-49719, CVSS-Wert: 7,5) betrifft Microsoft SQL Server. Dabei handelt es sich um ein Informationsleck, durch das nicht angemeldete Angreifer auf Speicherbereiche zugreifen können, die eigentlich geschützt sein sollten. Dort könnten zufällig noch sensible Daten liegen.

Adam Barnett von Rapid7 erklärt: „Zwar ist nicht garantiert, dass dabei etwas Wertvolles gefunden wird – aber mit etwas Glück oder gezielter Ausnutzung könnte ein Angreifer an kryptografische Schlüssel oder andere vertrauliche Informationen gelangen.“

Mike Walters von Action1 sieht die Ursache in einer fehlerhaften Eingabeprüfung bei der Speicherverwaltung des SQL Servers. Auch Anwendungen, die auf OLE DB-Treiber zugreifen, seien betroffen – was das Risiko zusätzlich erhöht.

CVE-2025-47981: Kritischste Schwachstelle mit Potenzial zur Wurm-Ausbreitung

Die gefährlichste Schwachstelle im Juli-Update trägt die Kennung CVE-2025-47981 und betrifft das SPNEGO Extended Negotiation-Protokoll (NEGOEX). Microsoft vergibt einen CVSS-Wert von 9,8 – nahezu das Maximum. Ein heap-basierter Pufferüberlauf erlaubt Angreifern die Remote-Code-Ausführung ohne Authentifizierung.

Laut Microsoft reicht bereits ein einziges manipuliertes Datenpaket aus dem Netzwerk, um einen Server ins Visier zu nehmen. Benjamin Harris von watchTowr warnt: „Diese Schwachstelle könnte wurmfähig sein – also selbstständig von einem System zum nächsten springen. Das erinnert stark an den WannaCry-Ausbruch.“ Besonders alarmierend: Microsoft selbst hält eine Ausnutzung für sehr wahrscheinlich.

Allerdings betrifft die Lücke nur Windows-Clientsysteme ab Windows 10 Version 1607. Der Grund: Auf diesen Systemen ist die Gruppenrichtlinie (GPO) „Netzwerksicherheit: PKU2U-Authentifizierungsanforderungen an diesen Computer zur Verwendung von Onlineidentitäten zulassen“ standardmäßig aktiviert – und genau das macht den Angriff erst möglich.

Weitere kritische Lücken im Detail

Neben NEGOEX enthalten die Juli-Patches weitere schwerwiegende Schwachstellen:

• CVE-2025-49735 (CVSS 8,1): Remote-Code-Ausführung in der Windows KDC Proxy Service. Der Angreifer benötigt weder Rechte noch Benutzerinteraktion. Der Exploit basiert auf einem Race Condition-Fehler.
• CVE-2025-48822 (CVSS 8,6): Angriff auf Hyper-V, Microsofts Virtualisierungslösung.
• CVE-2025-49695 bis -49697 (CVSS 8,4): Lücken in Microsoft Office, die Remote-Code-Ausführung ermöglichen.

„Was CVE-2025-49735 so gefährlich macht, ist die Kombination aus Netzwerkzugänglichkeit, fehlender Notwendigkeit von Rechten und **keiner erforderlichen Benutzeraktion“, erklärt Ben McCarthy, leitender Cybersicherheitsingenieur bei Immersive. „Trotz der hohen technischen Komplexität kann ein Angreifer die Schwachstelle aus der Ferne ausnutzen – noch bevor sich ein Benutzer anmeldet. Genau solche Eigenschaften machen die Lücke besonders interessant für staatliche Hackergruppen und professionelle Angreifer.“

„Der Angriff basiert auf einer sogenannten Race Condition – also einem zeitlich sehr engen Fenster, in dem ein Speicherbereich zuerst freigegeben und dann neu belegt wird. Das ist schwer zuverlässig auszunutzen. Aber mit bestimmten Techniken wie Heap Grooming lässt sich auch so ein komplizierter Fehler für echte Angriffe vorbereiten.“

BitLocker: Physischer Zugriff reicht für Datenklau

Auch Microsofts Festplattenverschlüsselung BitLocker steht bei dem Update im Fokus. Fünf Schwachstellen (CVE-2025-48001, -48003, -48800, -48804, -48818; CVSS 6,8) ermöglichen es Angreifern mit physischem Zugriff auf ein Gerät, verschlüsselte Daten zu extrahieren.

Ein konkretes Beispiel: Durch das Laden eines manipulierten WinRE.wim-Images im entsperrten System-Volume kann die BitLocker-Sicherung umgangen werden. Laut Jacob Ashdown von Immersive sind vor allem Organisationen mit hohem Mobilitätsgrad betroffen: „Geht ein Gerät verloren, können Angreifer die Systemintegrität kompromittieren und auf sensible Daten zugreifen.“

Abschied von SQL Server 2012

Zum Schluss noch eine wichtige Ankündigung: Microsoft beendet endgültig den Support für SQL Server 2012. Am 8. Juli 2025 lief der erweiterte Sicherheitsupdate-Support aus – Sicherheitslücken in dieser Version werden ab sofort nicht mehr behoben. Unternehmen, die diese Version noch einsetzen, handeln fahrlässig und setzen sich unkalkulierbaren Risiken aus.

Auch ohne Zero-Day bleibt der Juli-Patchday ein sicherheitskritisches Ereignis. Die Zahl der Schwachstellen ist hoch, mehrere Lücken sind ohne Authentifizierung ausnutzbar und könnten zur vollständigen Systemkompromittierung führen. Sicherheitsverantwortliche sollten sofortige Maßnahmen ergreifen – insbesondere in Bezug auf SQL Server, SPNEGO und BitLocker.