[English]In allen im Support befindlichen Windows-Versionen (Clients und Server) gibt es eine Certificate Spoofing-Schwachstelle (CVE-2025-55229). Eigentlich sollte es zum 21. August 2025 auch Updates für die betroffenen Produkte geben. Zumindest ich stoße momentan auf den Microsoft-Seiten aber nur auf gebrochene Links. Ergänzung: Angeblich soll die Spoofing-Schwachstelle im Mai 2025 gefixt worden sein. Zum 21. August 2025 wurde aber die RCE-Schwachstelle CVE-2025-55230 in MBT-Treiber bekannt. Aber auch hier sind die Update-Links gebrochen.
Ein kurzer Leserhinweis
Blog-Leser Robert hat mich gestern am sehr späten Abend per E-Mail mit dem Betreff "CVE-2025-55229 – Leitfaden für Sicherheitsupdates – Microsoft – Sicherheitsanfälligkeit in Windows-Zertifikat bezüglich Spoofing" auf das Thema hingewiesen – danke dafür. Mit dem Hinweis "Das ist wohl was größeres" kam noch ein Link auf CVE-2025-55229 mit.
Was sagt Microsoft zu CVE-2025-55229?
Bei Microsoft gibt es einen Eintrag zu CVE-2025-55229 vom 21. August 2025, der eine Windows Certificate Spoofing Vulnerability beschreibt. Die Schwachstelle ist mit einem CVSS 3.1 Score von 5.3 nicht besonders hoch eingestuft.
Zur Schwachstelle heißt es, dass eine unsachgemäße Überprüfung der kryptografischen Signatur in Windows-Zertifikaten ermöglicht es einem unbefugten Angreifer, Spoofing über ein Netzwerk durchzuführen. Details sind noch nicht öffentlich bekannt.
Ein Angreifer, der die Sicherheitslücke erfolgreich ausnutzt, kann einige vertrauliche Informationen einsehen (Vertraulichkeit), aber möglicherweise werden nicht alle Ressourcen innerhalb der betroffenen Komponente an den Angreifer weitergegeben. Der Angreifer kann keine Änderungen an den offengelegten Informationen vornehmen (Integrität) oder den Zugriff auf die Ressource einschränken (Verfügbarkeit).
Ergänzung: Wie moinmoin von deskmodder.de unten anmerkt, ist das obige von Microsoft erklärt: Dieses CVE wurde durch Updates behoben, die im Mai 2025 veröffentlicht wurden, aber das CVE wurde versehentlich in den Sicherheitsupdates vom Mai 2025 ausgelassen. Aber die nachfolgenden Ungereimtheiten bzgl. der gebrochenen Updates passen nicht.
Patches da, aber nicht downloadbar
Wo es dann komisch wird: Der Beitrag CVE-2025-55229 von Microsoft besagt, dass es zum 21. August 2025 Sicherheitsupdates für alle noch im Support befindlichen Windows-Versionen (Clients: Windows 10, Windows 11, und Windows Server) geben wird und nennt sogar die KB der Updates. Aber alle Links sind hier (22.8.2025, 7:35 Uhr) gebrochen. Auch in den nachfolgend genannten Seiten, auf denen Updates angeboten werden, ist noch nichts zu sehen.
- Eine Liste der Windows 11 Updates lässt sich auf dieser Microsoft-Webseite abrufen.
- Eine Liste der Windows 10 Updates lässt sich auf dieser Microsoft-Webseite abrufen.
- Eine Liste der Windows Server 2025 Updates lässt sich auf dieser Microsoft-Webseite abrufen.
- Eine Liste der Windows Server 23H2 Updates lässt sich auf dieser Microsoft-Webseite abrufen.
- Eine Liste der Windows Server 2022 Updates lässt sich auf dieser Microsoft-Webseite abrufen.
- Eine Liste der Updates für Windows Server 2016 und 2019 lässt sich auf dieser Microsoft-Webseite abrufen.
- Die Updates für Windows Server 2012 R2 sind auf dieser Microsoft-Seite zu finden.
- Die Updates für Windows Server 2012 sind auf dieser Microsoft-Seite zu finden.
Vielleicht korrigiert Microsoft ja im Laufe des Tages die gebrochenen Links oder erklärt, warum die Updates nicht verfügbar sind.
Schwachstelle CVE-2025-55230 in MBT-Treiber
Ergänzung 2: Blog-Leser Christian hat mich eben per E-Mail kontaktiert und schrieb: "laut MS Security Center fehlen unseren Windows11 24H2 Clients seit gestern ein OOB mit der KB5065426.". Er merkt an, dass es dieses Out-of-band-Update aber nicht im Microsoft Update Katalog gibt. Das Update soll die oben erwähnte Schwachstelle
CVE-2025-55229, sowie die Schwachstelle CVE-2025-55230 adressieren.
Hier wird es interessant, denn das ist eine "Windows MBT Transport Driver Elevation of Privilege"-Schwachstelle, die am 21. August 2025 öffentlich wurde und mit einem CVSS 3.1 Score von 7.8 (important) bewertet wurde. Eine nicht vertrauenswürdige Zeiger-Dereferenzierung im Windows MBT-Transporttreiber ermöglicht es einem autorisierten Angreifer, lokal seine Berechtigungen zu erweitern.
Auch hier laufen die verlinkten Patches bei den angegebenen Links auf eine Fehlerseite. Erklärt mir, warum in der Seite zu CVE-2025-55229 die neuen Updates angegeben wurden – die sollen wohl die MBT-Schwachstelle patchen. Aber es ist was schief gegangen. Sprich: Man will patchen, kann es aber nicht.
Ähnliche Artikel:
Microsoft Security Update Summary (12. August 2025)
Patchday: Windows 10/11 Updates (12. August 2025)
Patchday: Windows Server-Updates (12. August 2025)
Patchday: Microsoft Office Updates (12. August 2025)
Windows 11 24H2: Update KB5063878 wirft Installationsfehler 0x80240069
Windows 11 24H2: Update KB5063878 als Re-Release für WSUS (14. Aug. 2025)
Windows 11 24H2: Führt Aug. 2025-Update KB5063878 zu SSD-Fehlern?
MVP: 2013 – 2016
Das ist nur ein Nachtrag. Das Problem wurde schon im Mai korrigiert.
Dort sind auch noch weitere CVEs nachgetragen, die unter anderem im Juli mit dem Update behoben wurden. Also nichts Neues oder schlimmes.
dann sollten aber die KBs schon existieren, oder?
Die angegebene Build Nummer für dieses angekündigte Update
Bsp.: Windows 11 24H2 ist (wesentlich) höher "10.0.26100.6563"
als das Aktuelle von August 2025 "10.0.26100.4946"
siehe https://support.microsoft.com/en-us/topic/august-12-2025-kb5063878-os-build-26100-4946-e4b87262-75c8-4fef-9df7-4a18099ee294
sogar höher als das kommende Optionale Update "10.0.26100.5067"
siehe https://www.deskmodder.de/blog/2025/08/21/kb5064081-windows-11-24h2-manueller-download-als-optionales-update-august/
Muss also was Neues sein.
kann aus bestimmten Gründen momentan nichts prüfen, aber der Begriff New und die kaputten Links sind schon komisch bzw. verwirrend. Wer was weiß, möge einen Kommentar nachtragen. Muss mich jetzt um einen MRT Termin kümmern
Guten Morgen Herr Born.
Zuerst einmal, ehrliche Wünsche zu viel Gesundheit und eine gute und schnelle Genesung.
Microsoft hat die folgendes Update am 21.08.25 dazu veröffentlicht und die Lücke sollte seit Mai (wie moinmoin schon korrekt anmerkte) geschlossen sein. Dazu gabe nur eine neue Revision Info:
—
CVEs have been published or revised in the Security Update Guide
August 21, 2025
These common vulnerabilities and exposures (CVEs) were recently published or revised in the Microsoft Security Update Guide:
CVE-2025-55229
• Title: Windows Certificate Spoofing Vulnerability
• Version: 1.0
• Reason for revision: Information published. This CVE was addressed by updates that were released in May 2025, but the CVE was inadvertently omitted from the May 2025 Security Updates. This is an informational change only. Customers who have already installed the May 2025 updates do not need to take any further action.
• Originally released: August 21, 2025
• Last updated: August 21, 2025
• Aggregate CVE severity rating: Important
• Customer action required: Yes
CVE-2025-55230
• Title: Windows MBT Transport Driver Elevation of Privilege Vulnerability
• Version: 1.0
• Reason for revision: Information published. This CVE was addressed by updates that were released in July 2025, but the CVE was inadvertently omitted from the July 2025 Security Updates. This is an informational change only. Customers who have already installed the July 2025 updates do not need to take any further action.
• Originally released: August 21, 2025
• Last updated: August 21, 2025
• Aggregate CVE severity rating: Important
• Customer action required: Yes
CVE-2025-55231
• Title: Windows Storage-based Management Service Remote Code Execution Vulnerability
• Version: 1.0
• Reason for revision: Information published. This CVE was addressed by updates that were released in July 2025, but the CVE was inadvertently omitted from the July 2025 Security Updates. This is an informational change only. Customers who have already installed the July 2025 updates do not need to take any further action.
• Originally released: August 21, 2025
• Last updated: August 21, 2025
• Aggregate CVE severity rating: Important
• Customer action required: Yes
—
Liebe Grüße
Aus den Kommentaren interpretiere ich es nun so, dass es eine Revision der Patches geben wird, mutmaßlich im September, weshalb die Links brechen. Aus diesem Blickwinkel macht die Revision des MS-Beitrags vom 21.8.2025 für mich keinen Sinn. Details zur Spoofing-Schwachstelle, die sich geändert haben könnten, gibt es nicht. Und die KB-Links sind ja auch kaputt. Vielleicht übersehe ich was.
Aus dem Artikel von Microsoft, ganz unten:
Revisions
1.0 Aug 21, 2025
Information published. This CVE was addressed by updates that were released in May 2025, but the CVE was inadvertently omitted from the May 2025 Security Updates. This is an informational change only. Customers who have already installed the May 2025 updates do not need to take any further action.
"inadvertently omitted" = "versehentlich weggelassen"
Tipp: Firefox hat inzwischen eine ganz gut funktionierende lokale (KI basierende) Übersetzungsfunktion für Webseiten.
und warum wird dann eine neue Build Nummer "10.0.26100.6563" angegeben?
Wenn es nur ein "Informational change only" sein soll, wie kommt es dann zu den zu hohen Build-Nummern von noch unveröffentlichten Updates in der Tabelle?
msrc. microsoft. com/update-guide/vulnerability/CVE-2025-55229
Schaut euch meinen Nachtrag im Artikel an.
Es lag nicht an der KI-Übersetzungsfunktion, sondern war ein Optimierungsproblem ("wie lange halte ich mit Fuß auf dem Schreibtisch am Desktop aus" – die Zeit war zu kurz, um alles nochmals zu checken). Ist aber Schnee von gestern, habe die mutmaßliche Erklärung (MBT RCE-Schwachstelle) für die angehängten neuen KB-Artikel mit den Patches nachgetragen. Warum die gebrochen sind, weiß ich nicht – vermute, dass da schlicht was verbaselt wurde.
Updates kommen vermutlich im September 2025 und korrigieren die Schwachstellen. Beim Einpflegen der Revision ist dann die Link-Liste mit den Sept. 2025-Updates in die CVS-Artikel rein geraten, obwohl es keinen Sinn macht. Mag mich aber irren. We will wait an see.
Naja, im Link steht ja aber ausdrücklich drin, dass es quasi ein Nachtrag ist. Aber der neue CVE von Christian macht es nicht besser, die hohen Buildnummern ebenso nicht. Seit wann veröffentlicht Microsoft neue CVEs schon vor dem Patchday? Und vor allem welche, die wegen CVSS-Score unter 8/9 keine Notfallpatches für akut zu schließende Zerodays sind? Ist da was größeres im Busch? Oder tatsächlich nur Vergesslichkeit?
https://nvd.nist.gov/vuln/detail/CVE-2025-55229
https://nvd.nist.gov/vuln/detail/CVE-2025-55230
macht auch nicht klüger…
Auch bei CVE-2025-55230 schreibt MS:
Revisions
1.0 Aug 21, 2025
Information published. This CVE was addressed by updates that were released in July 2025, but the CVE was inadvertently omitted from the July 2025 Security Updates. This is an informational change only. Customers who have already installed the July 2025 updates do not need to take any further action.
wtf?
Gibt noch was anderes, weniger glimpflich:
https://www.deskmodder.de/blog/2025/08/22/windows-11-24h2-und-10-august-update-kann-probleme-bei-streaming-anwendungen-verursachen-workaround/
Ist noch auf dem Radar – aktuell gehen andere Dinge vor – will es aber heute noch bringen. Danke für den Hinweis bzw. die Erinnerung.
Welche Certificate? Die die mit den UEFI zutun haben?
Du schreibst von "gebrochenen Links". Das kommt wohl vom Englischen "broken links". Meiner Meinung nach gibt es diesen Ausdruck auf Deutsch aber nicht. Ein kaputter oder ungültiger Link wäre hier wohl passender. 😊
Microsoft hat nun noch einen Nachtrag geliefert und die kaputten Links korrigiert:
"CVEs have been published or revised in the Security Update Guide
August 26, 2025
These common vulnerabilities and exposures (CVEs) were recently published or revised in the Microsoft Security Update Guide:
CVE-2025-55229
• Title: Windows Certificate Spoofing Vulnerability
• Version: 2.0
• Reason for revision: Corrected Download and Article links in the Security Updates table. This is an informational change only.
• Originally released: August 21, 2025
• Last updated: August 26, 2025
• Aggregate CVE severity rating: Important
• Customer action required: Yes
CVE-2025-55230
• Title: Windows MBT Transport Driver Elevation of Privilege Vulnerability
• Version: 2.0
• Reason for revision: Corrected Download and Article links in the Security Updates table. This is an informational change only.
• Originally released: August 21, 2025
• Last updated: August 26, 2025
• Aggregate CVE severity rating: Important
• Customer action required: Yes
CVE-2025-55231
• Title: Windows Storage-based Management Service Remote Code Execution Vulnerability
• Version: 2.0
• Reason for revision: Corrected Download and Article links in the Security Updates table. This is an informational change only.
• Originally released: August 21, 2025
• Last updated: August 26, 2025
• Aggregate CVE severity rating: Important
• Customer action required: Yes "
Danke für den Nachtrag.