Microsoft schließt 57 zum Teil kritische Sicherheitslücken
Microsoft hat am letzten Patch-Dienstag dringende Sicherheitsupdates veröffentlicht, um 57 Schwachstellen in seiner Software zu schließen. Darunter sind sechs gefährliche Zero-Day-Lücken, die bereits aktiv von Angreifern ausgenutzt werden.
Beim letzten MS Patch-Dienstag ging es einmal wieder groß um das Thema Sicherheit: Von den mit dem Patch geschlossenen Sicherheitslücken stuft Microsoft sechs als kritisch, 50 als wichtig und eine als niedriges Risiko ein. Unter den behobenen Schwachstellen befinden sich 23 Sicherheitslücken, die Remote-Code-Ausführung ermöglichen, sowie 22 Schwachstellen, die zur Erhöhung von Benutzerrechten missbraucht werden können.
Zusätzlich zu diesen Updates hat Microsoft in seinem Chromium-basierten Edge-Browser seit dem letzten Patch-Tuesday-Update 17 weitere Schwachstellen geschlossen. Darunter befindet sich eine Spoofing-Sicherheitslücke (CVE-2025-26643, CVSS-Wert: 5,4), die speziell den Browser betrifft.
Bei den sechs aktiv ausgenutzte Zero-Day-Schwachstellen handelt es sich um:
- CVE-2025-24983 (CVSS-Wert: 7,0) – Eine Use-After-Free-Sicherheitslücke im Windows Win32 Kernel-Subsystem, die es einem autorisierten Angreifer ermöglicht, seine Benutzerrechte lokal zu erhöhen.
- CVE-2025-24984 (CVSS-Wert: 4,6) – Eine Information-Leak-Schwachstelle in Windows NTFS, die es Angreifern mit physischem Zugriff auf ein Gerät und manipuliertem USB-Stick ermöglicht, die dynamisch verwalteten Bereiche des Arbeitsspeichers (Heap) auszulesen.
- CVE-2025-24985 (CVSS-Wert: 7,8) – Eine Integer Overflow-Schwachstelle im Windows Fast FAT File-System-Treiber, die es einem nicht autorisierten Angreifer erlaubt, lokal Schadcode auszuführen.
- CVE-2025-24991 (CVSS-Wert: 5,5) – Eine Out-of-Bounds-Lese-Sicherheitslücke in Windows NTFS, die es einem autorisierten Angreifer ermöglicht, lokal Informationen offenzulegen.
- CVE-2025-24993 (CVSS-Wert: 7,8) – Eine Heap-basierte Buffer Overflow-Schwachstelle in Windows NTFS, die einem nicht autorisierten Angreifer erlaubt, lokal Code auszuführen.
- CVE-2025-26633 (CVSS-Wert: 7,0) – Eine Sicherheitslücke in der Microsoft Management Console, bei der schädliche Eingaben nicht richtig gefiltert oder entschärft werden. Dadurch kann ein nicht autorisierter Angreifer eine Sicherheitsfunktion der Konsole umgehen und möglicherweise unerlaubte Aktionen auf dem System ausführen.
Das Sicherheitsunternehmen ESET, das für die Entdeckung und Meldung der Schwachstelle CVE-2025-24983 verantwortlich ist, gab an, dass es die Zero-Day-Schwachstelle erstmals im März 2023 im öffentlichen Internet entdeckt hat. Sie wurde über eine Backdoor namens PipeMagic auf kompromittierten Systemen verbreitet.
Es handle sich um einen Use-After-Free-Fehler im Win32k-Treiber, wie das slowakische Unternehmen erklärt: „In einem speziellen Fall, der durch die WaitForInputIdle-API ausgelöst wird, wird eine bestimmte Datenstruktur (W32PROCESS) zu oft verwendet, obwohl sie bereits freigegeben wurde. Dies führt zu einer Use-After-Free-Sicherheitslücke, bei der Speicher fälschlicherweise erneut genutzt wird. Damit ein Angreifer die Schwachstelle ausnutzen kann, muss er eine Race Condition gewinnen – also schneller sein als ein anderer Prozess, der denselben Speicher nutzt.“
Hintergrund zu PipeMagic
PipeMagic ist ein modularer Trojaner, der seit seiner Entdeckung im Jahr 2022 gezielt Organisationen in Asien und Saudi-Arabien angreift. In einer Kampagne Ende 2024 wurde die Malware als gefälschte OpenAI ChatGPT-Anwendung verbreitet.
Laut Kaspersky weist PipeMagic eine besondere Eigenschaft auf: „Eine besondere Funktion von PipeMagic ist, dass es eine zufällige 16-Byte-Zeichenfolge erstellt und damit eine benannte Pipe im Format \.\pipe\1.<Hexadezimalwert> erzeugt. „Es startet einen Prozess, der diese Pipe ständig neu erstellt, Daten daraus ausliest und sie anschließend wieder löscht.“
Kaspersky weiter: „Diese Pipe dient dazu, verschlüsselte Daten und Stoppsignale über die standardmäßige lokale Schnittstelle zu empfangen. PipeMagic arbeitet oft mit mehreren Plugins, die von einem Command-and-Control (C2)-Server heruntergeladen werden. In diesem Fall befand sich dieser Server auf Microsoft Azure.“
Schwachstelle durch falsche Verarbeitung von MSC-Dateien
Laut der Zero Day Initiative liegt die Ursache für CVE-2025-26633 in der fehlerhaften Verarbeitung von MSC-Dateien. Dadurch können Angreifer Sicherheitsmechanismen umgehen und Schadcode im Benutzerkontext ausführen. Diese Aktivität wird mit einer Hackergruppe namens EncryptHub (auch bekannt als LARVA-208) in Verbindung gebracht.
Das Sicherheitsunternehmen Action1 warnt zudem, dass Angreifer verschiedene Schwachstellen im Windows-Dateisystem kombinieren können, um:
🔹 Schadcode aus der Ferne auszuführen (CVE-2025-24985 & CVE-2025-24993)
🔹 Sensible Informationen zu stehlen (CVE-2025-24984 & CVE-2025-24991)
Alle vier Schwachstellen wurden anonym gemeldet.
Angriffsszenario über VHD-Dateien
Laut Kev Breen, Senior Director of Threat Research bei Immersive, basiert der Angriff auf manipulierten VHD-Dateien: „Ein Angreifer erstellt eine bösartige VHD-Datei und bringt das Opfer dazu, sie zu öffnen oder zu mounten.“
VHD (Virtual Hard Disk)-Dateien werden normalerweise für virtuelle Maschinen genutzt. Allerdings verwenden Cyberkriminelle sie zunehmend in Phishing-Angriffen, um Malware an Antivirenprogrammen vorbeizuschleusen.
Je nach Windows-Einstellungen reicht ein Doppelklick auf eine VHD-Datei, um sie zu öffnen und die darin enthaltene Schadsoftware automatisch zu starten.
Laut Satnam Narang, Senior Research Engineer bei Tenable, ist CVE-2025-26633 bereits die zweite Zero-Day-Schwachstelle in MMC, die aktiv ausgenutzt wird – nach CVE-2024-43572.
Zudem ist CVE-2025-24985 die erste bekannte Sicherheitslücke im Windows Fast FAT File-System-Treiber seit März 2022 – und gleichzeitig die erste Zero-Day-Schwachstelle, die bereits von Angreifern aktiv genutzt wird.
Wie üblich ist derzeit nicht bekannt, ob und in welchem Umfang die verbleibenden Schwachstellen bereits ausgenutzt werden. Aufgrund dieser Unsicherheiten hat die U.S. Cybersecurity and Infrastructure Security Agency (CISA) die betroffenen Sicherheitslücken in ihren Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen. US-Bundesbehörden sind nun verpflichtet, die Updates bis spätestens 1. April 2025 zu installieren.
Sicherheitsupdates von anderen Anbietern
Neben Microsoft haben in den letzten Wochen auch andere Softwareanbieter Sicherheitsupdates veröffentlicht, um verschiedene Schwachstellen zu schließen, darunter:
- Adobe
- Amazon Web Services
- AMD
- Apple
- Atlassian
- Broadcom (inklusive VMware)
- Canon
- Cisco
- Citrix
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Android und Pixel
- Google Chrome
- Google Cloud
- Google Wear OS
- Hitachi Energy
- HP
- HP Enterprise (inklusive Aruba Networking)
- IBM
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
- LibreOffice
- Linux Distributionen Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE und Ubuntu
- MediaTek
- Mitsubishi Electric
- Moxa
- Mozilla Firefox, Firefox ESR, und Thunderbird
- NVIDIA
- QNAP
- Qualcomm
- Rockwell Automation
- Samsung
- SAP
- Schneider Electric
- Siemens
- Synology
- Veritas
- Zimbra
- Zoho ManageEngine
- Zoom und
- Zyxel