Microsoft schließt 78 Sicherheitslücken – darunter fünf aktiv ausgenutzte und eine extrem kritische

Microsoft muss mal wieder Feuerwehr spielen: Von den 78 jetzt geschlossenen Schwachstellen stuft das Unternehmen elf als kritisch, 66 als wichtig und eine als geringfügig ein. Insgesamt betreffen 28 der Lücken eine Remotecodeausführung, 21 ermöglichen Rechteausweitung, und 16 führen zur Offenlegung sensibler Informationen.

Zusätzlich wurden im Chromium-basierten Edge-Browser weitere acht Sicherheitslücken geschlossen, die seit dem Patch Tuesday des Vormonats bekannt geworden sind.

Aktiv ausgenutzte Zero-Day-Schwachstellen:

• CVE-2025-30397 (CVSS 7,5) – Speicherbeschädigung in der Microsoft Scripting Engine
• CVE-2025-30400 (CVSS 7,8) – Rechteausweitung in der Desktop Window Manager (DWM) Core Library
• CVE-2025-32701 (CVSS 7,8) – Rechteausweitung im Windows Common Log File System (CLFS)
• CVE-2025-32706 (CVSS 7,8) – Weitere Rechteausweitung im CLFS-Treiber
• CVE-2025-32709 (CVSS 7,8) – Rechteausweitung im Ancillary Function Driver for WinSock

Die ersten drei Schwachstellen wurden von Microsofts eigenem Threat-Intelligence-Team entdeckt. CVE-2025-32706 wurde von Benoit Sevens (Google Threat Intelligence Group) und dem CrowdStrike Advanced Research Team gemeldet. CVE-2025-32709 geht auf einen anonymen Sicherheitsforscher zurück.

Exploit-Details im Überblick

CVE-2025-30397 betrifft die Microsoft Scripting Engine, die unter anderem im Internet Explorer und im Internet-Explorer-Modus von Edge verwendet wird.

Laut Alex Vovk, CEO von Action1, können Angreifer die Lücke durch eine manipulierte Webseite oder ein Skript ausnutzen. Dabei kommt es zur fehlerhaften Verarbeitung von Objekttypen, was eine Speicherbeschädigung und Remotecodeausführung im Kontext des aktuellen Benutzers ermöglicht. Bei administrativen Rechten wäre eine vollständige Systemübernahme möglich – inklusive Datenklau, Malware-Installation und lateraler Bewegung im Netzwerk.

CVE-2025-30400 ist die dritte öffentlich ausgenutzte Schwachstelle in der DWM Core Library seit 2023. Im Mai 2024 hatte Microsoft bereits CVE-2024-30051 gepatcht, die laut Kaspersky für die Verbreitung der QakBot-Malware (Qwaking Mantis) verwendet wurde.

Laut Satnam Narang (Tenable) wurden seit 2022 insgesamt 26 DWM-Lücken mit Rechteausweitung durch Patch Tuesday behoben – allein im April 2025 waren es fünf. Zuvor waren nur zwei DWM-Lücken als Zero-Day ausgenutzt worden: CVE-2024-30051 und CVE-2023-36033.

CVE-2025-32701 und CVE-2025-32706 sind die siebte und achte bekannte CLFS-Schwachstelle mit Rechteausweitung seit 2022, die auch real ausgenutzt wurden. Im April 2025 wurde CVE-2025-29824 als Zero-Day gegen Unternehmen in den Vereinigten Staaten, Venezuela, Spanien und Saudi-Arabien eingesetzt – nach Beobachtungen von Symantec mutmaßlich durch die Play-Ransomware-Gruppe.

 CVE-2025-32709 ist bereits die dritte Schwachstelle im WinSock-Treiber, die innerhalb eines Jahres ausgenutzt wurde – nach CVE-2024-38193 und CVE-2025-21418. Die Lazarus-Gruppe aus Nordkorea wird mit der Ausnutzung von CVE-2024-38193 in Verbindung gebracht.

Die US-amerikanische Cybersicherheitsbehörde CISA hat alle fünf Zero-Day-Lücken in ihren „Known Exploited Vulnerabilities“-Katalog (KEV) aufgenommen. Für US-Bundesbehörden gilt: Die Patches müssen bis spätestens 3. Juni 2025 eingespielt werden.

Weitere bemerkenswerte Schwachstellen

CVE-2025-26684 (CVSS 6,7) betrifft Microsoft Defender for Endpoint for Linux. Ein lokal authentifizierter Angreifer kann darüber Root-Rechte erlangen.

Der Fehler liegt in einem Python-Hilfsskript mit der Funktion grab_java_version(), das die Java-Version ermitteln soll. Dabei kann unter bestimmten Bedingungen ein beliebiger Java-Prozess mit Root-Rechten ausgeführt werden, wie Rich Mirch (Stratascale) erklärt: „Die Funktion ermittelt den Speicherort der Java-Binärdatei auf der Festplatte, indem sie den symbolischen Link /proc/<PID>/exe überprüft und anschließend den Befehl java -version ausführt. Das Problem dabei: Die Java-Binärdatei könnte sich in einem nicht vertrauenswürdigen Verzeichnis befinden. Ein lokaler, nicht privilegierter Angreifer kann einen Prozess mit dem Namen java oder javaw erstellen – dieser würde letztlich mit Root-Rechten ausgeführt, um die Version der Java-Laufzeitumgebung zu ermitteln.“

CVE-2025-26685 (CVSS 6,5) betrifft Microsoft Defender for Identity und ermöglicht Spoofing über ein lokales Netzwerk.

Laut Adam Barnett (Rapid7) kann über die Lateral-Movement-Erkennung ein NTLM-Hash des Directory-Services-Kontos abgegriffen werden – besonders dann, wenn eine Rückfallebene von Kerberos auf NTLM erreicht wird.

Höchste Bedrohung: Azure DevOps Server

Mit einem CVSS-Score von 10,0 gilt CVE-2025-29813 als besonders kritisch. Die Schwachstelle erlaubt es, ohne Authentifizierung administrative Rechte im Azure DevOps Server über das Netzwerk zu erlangen.

Microsoft betont, dass die Lücke in der Cloud-Version bereits geschlossen sei – Kunden müssen in diesem Fall nicht aktiv werden.

Sicherheitsupdates weiterer Anbieter

Neben Microsoft haben in den vergangenen Wochen auch zahlreiche andere Hersteller Sicherheitsupdates veröffentlicht, um verschiedene Schwachstellen zu beheben, darunter:

• Adobe
• Amazon Web Services
• AMD
• Apple
• Arm
• ASUS
• Bosch
• Broadcom (inklusive VMware)
• Canon
• Cisco
• Citrix
• CODESYS
• Dell
• Drupal
• F5
• Fortinet
• Fortra
• GitLab
• Google Android und Pixel
• Google Chrome
• Google Cloud
• Google Wear OS
• Hitachi Energy
• HP
• Hewlett Packard Enterprise (inklusive Aruba Networking)
• IBM
• Intel
• Ivanti
• Juniper Networks
• Lenovo
• Linux-Distributionen:
  • Amazon Linux
  • Debian
  • Oracle Linux
  • Red Hat
  • Rocky Linux
  • SUSE
  • Ubuntu
• MediaTek
• Mitel
• Mitsubishi Electric
• Moxa
• Mozilla Firefox, Firefox ESR und Thunderbird
• NVIDIA
• Palo Alto Networks
• Qualcomm
• Samsung
• SAP
• Schneider Electric
• Siemens
• SonicWall
• Splunk
• Spring Framework
• TP-Link
• Trend Micro
• Veritas
• Zoom
• Zyxel