Der Microsoft Azure Bastion-Dienst zum sicheren und nahtlosen RDP- und SSH-Zugriff auf virtuelle Azure-Maschinen (VMs) weist für alle Bereitstellungen vor dem 20. November 2025 eine schwere Schwachstelle CVE-2025-49752 (CVSS Score 10.0) auf. Am 21. November 2025 hat Microsoft den Dienst gepatcht und die Schwachstelle beseitigt.
Was ist Azure Bastion?
Azure Bastion ist ein vollständig verwalteter Dienst, der "sicheren" und nahtlosen RDP- und SSH-Zugriff auf virtuelle Azure-Maschinen (VMs) bieten soll, ohne diese dem öffentlichen Internet auszusetzen. Der Dienst stellt über die privaten IP-Adressen der VMs eine Verbindung zu diesen her, sodass keine öffentlichen IP-Adressen auf den VMs selbst erforderlich sind. Dadurch soll die Sicherheit durch Verringerung der Angriffsfläche erhöht werden. Der Zugriff ist direkt über das Azure-Portal über einen Webbrowser oder einen nativen Client möglich, wobei die Verbindungen über TLS auf Standardports gesichert sind. So weit die Theorie.
Azure Bastion Schwachstelle CVE-2025-49752
In nachfolgendem Tweet weist Sicherheitsexperte Steven Lim darauf hin, dass in Azure Bastion eine schwere Schwachstelle CVE-2025-49752 existiert. Diese wurde mit dem höchst möglichen CVSS-Wert von 10.0 bewertet.
Es handelt sich um einen Elevation of Privilege-Schwachstelle (EOP), die von Microsoft zum 21. November 2025 geschlossen wurde. Alle Bereitstellungen bin zum 20. November 2025 sind also betroffen. Microsoft gibt aber an, dass keine Ausnutzung der Schwachstelle CVE-2025-49752 in freier Wildbahn bekannt sei.
ZeroPath hat in diesem Artikel einige Details zur Schwachstelle zusammen getragen. CVE-2025-49752 ermöglicht Angreifern die Authentifizierung (durch Capture-Replay) zu umgehen und sich über eine einzige Netzwerkanfrage Administratorzugriff auf in Azure gehostete virtuelle Maschinen zu verschaffen.
Bei dieser Art von Angriff fangen die Angreifer gültige Authentifizierungstoken oder Anmeldedaten ab und spielen sie erneut ab, um sich unbefugten Zugriff zu verschaffen. In Azure Bastion könnte dies einem Remote-Angreifer ermöglichen, seine Berechtigungen auf eine administrative Ebene zu erweitern und sich so potenziell Zugriff auf alle über den Bastion-Host erreichbaren VMs zu verschaffen.
Die Schwachstelle ist remote ausnutzbar, erfordert keine Benutzerinteraktion und zielt auf die Authentifizierungsmechanismen innerhalb des Bastion-Dienstes ab. Der CVSS-Score von 10,0 spiegelt die Tatsache wider, dass die Ausnutzung über das Netzwerk ohne vorherige Authentifizierung oder besondere Berechtigungen erfolgen kann. Zum jetzigen Zeitpunkt sind glücklicherweise keine Angriffe bekannt. Es wurden keine Proof-of-Concept- oder Exploit-Beispiele aus der Praxis gemeldet.
Inzwischen ist die Schwachstelle ja geschlossen und es sind keine weiteren Schritte erforderlich. Frage in die Runde: Nutzt jemand aus der Leserschaft Azure Bastion zum Zugriff auf virtuelle Azure Maschinen?
MVP: 2013 – 2016
Der Microsoft Bastion Host nichts anderes als der von Microsoft white-gelabelte Apache Guacamole.
https://guacamole.apache.org/
Guacamole ist für mich zentral für das Management externer Dienstleister:
https://blog.jakobs.systems/blog/20231010-supplychain-management/
und vor 5-6 Jahren war es der Gamechanger für Remote Arbeitsplätze während der Corona Lockdowns:
https://blog.jakobs.systems/blog/20200830-guacomole-terminalserver/
Es ist festzuhalten, dass dieser CVE hier Microsoft alleine betrifft, zumindest sehe ich keine Referenz zurück zum Original Projekt. Besonderes bemerkenswet ist, der Fehler stellt einen groben infrastrukturellen und sicherheitsrelevanten Denkfehler dar (Replay-Angriff).
Kurzum: Microsoft kopiert und adaptiert hier eine bewährte und robuste Open Source Technologie, reißt aber völlig dilletantisch einen CVSS von 10 (!) rein.
Bravo! Das muss dieses Vibe Coding sein.
Dieser Laden gehört für mich abgewickelt…
Betr. "Der Microsoft Bastion Host nichts anderes als der von Microsoft white-gelabelte Apache Guacamole.":
Das ist falsch. Das 'Whitelabeling' ist kein vom Wiederverkäufer vorgenommener Akt. Im Gegenteil: Dem Produkt wurde von Microsoft das Label Azure Bastion umgehängt. Des weiteren: Apache Guacomole kann nicht gekauft werden, insofern ist auch die im kaufmännischen Vertriebswesen gründende Bezeichnung White Label Software nicht anwendbar. S. ggf. a. https://haerting.de/wissen/white-label-software-was-entwickelnde-unternehmen-beachten-mussen/.