[English]Zum 13. Mai 2025 hat Microsoft ja zahlreiche Sicherheits-Updates für Windows, Office und weitere Produkte veröffentlich. Ich hatte zeitnah einen kurzen Überblick über die adressierten Schwachstellen gegeben. Sicherheitsanbieter Tenable hat mir im Nachgang noch deren Einschätzung zu den Sicherheitslücken übermittelt, die ich nachfolgend hier im Blog zur Information einstelle.
Anzeige
Im Mai 2025 hat Microsoft sieben Zero-Day-Schwachstellen gepatcht, von denen fünf in freier Wildbahn ausgenutzt wurden und zwei bereits vor Veröffentlichung der Patches bekannt waren. Vier der sieben Zero-Days waren Elevation-of-Privilege-Schwachstellen, zwei ermöglichten Remote Code Execution und eine war eine Spoofing-Schwachstelle.
CVE-2025-30397 in der Scripting Engine
CVE-2025-30397, eine Speicherkorruptions-Schwachstelle in der Scripting Engine, lässt sich nur ausnutzen, wenn das potenzielle Opfer Microsoft Edge im Internet Explorer Modus verwendet – eine hohe Hürde, wenn man bedenkt, dass Edge nur einen Marktanteil von 5 Prozent hat. Der Internet Explorer Modus wird verwendet, um Unternehmen bei Bedarf Abwärtskompatibilität zu bieten.
Darüber hinaus ist eine clientseitige Authentifizierung erforderlich und das potenzielle Opfer müsste auf einen vom Angreifer manipulierten Link klicken. Trotz bestätigter Ausnutzung des Bugs in freier Wildbahn ist es aufgrund der zahlreichen Hürden unwahrscheinlich, dass dies auf breiter Front geschieht.
In den letzten drei Jahren gab es nur wenige Scripting Engine Schwachstellen. Im August 2024 wurde jedoch ein weiterer Speicherkorruptions-Zero-Day in der Scripting Engine gemeldet: CVE-2024-38178. Laut Forschern und dem National Cyber Security Center (NCSC) der Republik Korea wurde dieser bereits in freier Wildbahn ausgenutzt. Es ist unklar, ob dies mit Folgeangriffen in Zusammenhang steht.
Anzeige
CVE-2025-30400 in DWM Core Library für Windows
CVE-2025-30400 ist eine der vier in diesem Monat gepatchten Elevation-of-Privilege-Schwachstellen. Sie betrifft die Desktop Window Manager (DWM) Core Library für Windows.
Seit 2022 wurden im Rahmen des Patch Tuesday 26 Elevation-of-Privilege-Schwachstellen in der DWM Core Library adressiert. Tatsächlich enthielt das April-Release Fixes für fünf Elevation-of-Privilege-Schwachstellen in der DWM Core Library. Vor CVE-2025-30400 wurden lediglich zwei Elevation-of-Privilege-Schwachstellen in der DWM Core Library als Zero-Days ausgenutzt: CVE-2024-30051 im Jahr 2024 und CVE-2023-36033 im Jahr 2023.
CVE-2025-32701 und CVE-2025-32706 im CLFS-Treiber
CVE-2025-32701 und CVE-2025-32706 sind beide Elevation-of-Privilege-Schwachstellen im Windows Common Log File System (CLFS) Driver. Das Common Log File System ist ein Allzweck-Protokollierungssubsystem, auf das sowohl Anwendungen im Kernelmodus als auch Anwendungen im Benutzermodus zugreifen können, um leistungsstarke Transaktionsprotokolle zu erstellen. Es wurde mit Windows Server 2003 R2 eingeführt und in späteren Windows-Betriebssystemen enthalten.
Das ist der zweite Monat in Folge, in dem eine Elevation-of-Privilege-Schwachstelle im CLFS als Zero-Day ausgenutzt wurde. CVE-2025-29824 wurde im April 2025 gepatcht und von einem als Storm-2460 bekannten Bedrohungsakteur ausgenutzt, der die PipeMagic-Malware einsetzte, um Ransomware in kompromittierten Umgebungen zu verbreiten.
Obwohl die genaue Methode der Ausnutzung von CVE-2025-32701 und CVE-2025-32706 in freier Wildbahn nicht bekannt ist, ist davon auszugehen, dass beide Teil von Post-Compromise-Aktivitäten waren, die entweder gezielter Spionage oder finanziell motivierten Aktivitäten wie der Verbreitung von Ransomware dienten. Seit 2022 wurden 33 Schwachstellen im CLFS Driver gemeldet – 28 davon waren Elevation-of-Privilege-Schwachstellen. Sechs dieser Schwachstellen wurden in freier Wildbahn als Zero-Days ausgenutzt (CVE-2022-37969, CVE-2023-23376, CVE-2023-28252, CVE-2024-49138, CVE-2025-29824).
CVE-2025-32709 in afd.sys
CVE-2025-32709 ist eine Elevation-of-Privilege-Schwachstelle in afd.sys, dem Windows Ancillary Function Driver. Dieser kommuniziert mit der Windows Sockets API (WinSock), um Windows Anwendungen die Verbindung zum Internet zu ermöglichen. Seit 2022 wurden im Rahmen des Patch Tuesday zehn Elevation-of-Privilege-Schwachstellen in afd.sys adressiert.
Die letzte Schwachstelle in afd.sys wurde im Februar 2025-Release veröffentlicht, und auch diese wurde als Zero-Day ausgenutzt. Ähnlich wie die anderen veröffentlichten Elevation-of-Privilege-Schwachstellen werden auch diese in der Regel im Rahmen von Post-Compromise-Aktivitäten ausgenutzt.
Mein Fazit
Wenn ich mir so anschaue, was Tenable bezüglich der in den letzten Monaten gepatchten Schwachstellen anschaue, wird mir ganz anders. Windows und Microsoft 365 kommen auf der einen Seite als wandelnde Sicherheitslücken (teilweise auf Kernfunktionen) daher. Auf der anderen Seite werden die Produkte von Microsoft mit Features überladen, die weitere Schwachstellen aufreißen. Und mit dem aufgepropften CoPilot bzw. den AI-Lösungen wird ein weiterer Angriffsvektor geschaffen.
Was mich besonders nervt: Eine Reihe der oben angerissenen Schwachstellen wurden als 0-days ausgenutzt. Auf der einen Seite bläst Microsoft "die Backen in Sachen LLMs auf" und erklärt, wie toll das alles sei. Auf der anderen Seite sind es Akteure im Cyber-Space, die die Schwachstellen finden, Exploits entwickeln und ausnutzen. Ich hätte ja erwartet, dass bei Microsoft ein Team dran sitze, und seine Kernprodukte mit AI-Lösungen sowie Fuzzy-Techniken pausenlos auf Schwachstellen abklopft, um Schwachstellen schneller als böswilligere Akteure zu finden.
Scheint aber – zumindest aus Außensicht – nicht der Fall zu sein. Stattdessen wird eine Schicht Voodoo mit Schlangenöl (VBS, Defender, MoW etc.) über die Produkte gekippt, in der Hoffnung, dass die Marketing-Folien für die Nutzer da draußen, die das alles alternativlos finden, überzeugend aussehen. Irgendwie ist das alles arg kaputt – und das Bild, was ich von Microsoft seit den 80er Jahren habe (Produkte von anderen aufkaufen, große Versprechen machen, das Ganze dann aber arg spät und mehr schlecht als recht umgesetzt, auf den Markt zu werfen), sich auch 2025 in keiner Weise geändert hat. Oder wie seht bzw. empfindet ihr das so?
Ähnliche Artikel:
Microsoft Security Update Summary (13. Mai 2025)
Patchday: Windows 10/11 Updates (13. Mai 2025)
Patchday: Windows Server-Updates (13. Mai 2025)
Patchday: Microsoft Office Updates (13. Mai 2025)
Windows 10/11: Preview Updates 22. und 25. April 2025
Anzeige
Stimm Ihnen ja eigentlich voll zu… nur immer dieses Alternativlos Gebashe… Linux ist auch nicht fehlerfrei! Und dann nennen Sie doch bitte mal Alternativen die über 08/15 Anwendung hinausgehen… es ist schlichtweg nicht möglich MS den Rücken zu kehren!
Solange nicht alle Anwendungen auch unter Linux (oder auch MacOS) laufen und zwar lückenlos und in gleicher Qualität was die Funktionen usw. betrifft! Ne Linux Software welche halt nicht mal ansatzweise die Funktionen bietet was ein Windows Pedant liefert ist keine Alternative.
Ja Office surfen streamen Musik hören (und da fängst schon an mit der Hardware Unterstützung)… geht sehr gut, nur ist das eben meistens nix was man als Firma braucht… und auch nichts als Privatprofi, der mehr als nur vorhergenanntes macht.
Den Linux Shice höre ich seit über 40 Jahren… über 40 Jahre nix als heisse Luft!
Ich bin Privat mit dem VIC1001/VIC20 eingestiegen, sogar bereits 1 Jahr bevor er hier erhältlich war, 1980direkt aus dem Ausland mitgebracht und beruflich schon früher Großrechner noch mit Lochkarten programmiert… Hab also diverse OS mitgemacht…
Mir ist das darunterliegende OS doch vollkommen egal, nur liefern muss es und das tut derzeit immer noch nur Windows! Und das obwohl Linux eigentlich mehr Manpower hat als jede andere Firma… schändlich!
Komisch, im Beitrag (hab die Suche benutzt), kommt das Wort Linux kein einziges Mal vor. Nur hier im Kommentar! Was soll mir das nur sagen?
Spoiler: Der Wechsel findet schlicht im Kopf der Anwender statt. Wenn ich hier in Kommentaren lese "MS 365 in Lizenz xyz kostet mich nur 12 Euro/Monat" und dann setzen die a bisserl Outlook ein oder machen alle Jubeljahre mal ein Word-Schreiben, könnte ich ko*zen. Ist schon Recht, dass MS die Leute am Nasenring durch die digitale Arena schleift. Die wollen das doch …
> Wenn ich hier in Kommentaren lese "MS 365 in Lizenz xyz kostet mich nur 12 Euro/Monat" und dann setzen die a bisserl Outlook ein oder machen alle Jubeljahre mal ein Word-Schreiben,
Es gibt zu viele Blöde, die 144 Euro im Jahr zum Fenster rausschmeißen. Und sich dann beschweren, daß sie nicht genügend Geld haben.
Ich verweise im privaten auf Libre Office und Mozilla Thunderbird.
Okay, muss man sich reinfuchsen.
Wenn man die Leute fragt, warum es MS Office sein muss, bekommt man immer die gleichen Antworten.
ach so, und DIESE Leute argumentieren auch mit lebenslangem Lernen! – Kopf klatsch
Zum Stichwort Alternativlos…
Ich habe seit 2007 keine Microsoft Software mehr produktiv im Einsatz. Und rolle seit ca. 2016 in Unternehmen Linux und Open Source Software aus und ersetze vornehmlich Windows-Lösungen.
Und jetzt Du wieder…
wenn es der Kundenkreis zulässt, natürlich sofort. Es gibt aber Branchen da kannst du einpacken, hier in Österreich ist es z.b. bei Rechtsanwälten absolut unmöglich auch nur irgendwie an FOSS zu denken, leider