[English]Am 14. Januar 2025 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 159 Schwachstellen (CVEs), davon acht als 0-day klassifiziert. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.
Anzeige
Hinweise zu den Updates
Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Windows 10/11, Windows Server
Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.
Windows Server 2012 R2
Für Windows Server 2012 /R2 ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).
Gefixte Schwachstellen
Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:
Anzeige
- CVE-2025-21333, CVE-2025-21334, CVE-2025-21335: Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege-Schwachstelle, alle mit CVEv3 Score 7.8, important; Ein authentifizierter, lokaler Angreifer könnte diese Sicherheitslücke ausnutzen, um SYSTEM-Rechte zu erlangen. Nach Angaben von Microsoft wurden alle drei Sicherheitslücken als Zero-Day-Schwachstellen ausgenutzt, es sind aber keine Details bekannt.
- CVE-2025-21186, CVE-2025-21366, CVE-2025-21395: Microsoft Access Remote Code Execution-Schwachstelle, CVEv3 Score 7.8, important; Ein nicht authentifizierter Remote-Angreifer könnte diese Schwachstelle ausnutzen, indem er eine Zielperson durch Social Engineering dazu bringt, eine bösartige Datei herunterzuladen und zu öffnen. Eine erfolgreiche Ausnutzung würde einem Angreifer beliebige Code-Ausführungsrechte auf dem anfälligen System gewähren. Dieses Update "verhindert, dass potenziell bösartige Erweiterungen in einer E-Mail gesendet werden". Nach Angaben von Microsoft wurden diese drei Sicherheitslücken öffentlich bekannt, bevor ein Patch zur Verfügung stand (Zero-Days). Sie werden auf unpatched.ai zurückgeführt, das künstliche Intelligenz (KI) einsetzt, um Schwachstellen zu finden und zu analysieren.
- CVE-2025-21308: Windows Themes Spoofing-Schwachstelle, CVEv3 Score 6.5, important; Laut Microsoft muss ein Angreifer einen Benutzer dazu bringen, eine bösartige Datei zu laden und die speziell gestaltete Datei zu manipulieren. Microsoft hat eine Liste von Abhilfemaßnahmen bereitgestellt, darunter die Deaktivierung von New Technology LAN Manager (NTLM) oder die Verwendung von Gruppenrichtlinien zum Blockieren von NTLM-Hashes.
- CVE-2025-21275: Windows App Package Installer Elevation of Privilege-Schwachstelle, CVEv3 Score 7.8, important; Ein lokaler, authentifizierter Angreifer könnte diese Sicherheitslücke ausnutzen, um SYSTEM-Rechte zu erlangen. Diese Art von Schwachstellen werden häufig mit Aktivitäten nach der Kompromittierung in Verbindung gebracht, nachdem ein Angreifer mit anderen Mitteln in ein System eingedrungen ist. Nach Angaben von Microsoft wurde diese Sicherheitslücke öffentlich bekannt, bevor ein Patch verfügbar war.
- CVE-2025-21297, CVE-2025-21309: Windows Remote Desktop Services Remote Code Execution-Schwachstelle, CVEv3 Score 8.1, critical; Laut Microsoft muss ein Angreifer, eine Verbindung zu einem System mit der Remotedesktop-Gateway-Rolle herstellen und eine Race-Condition auslösen, die ein Use-after-free-Szenario erzeugt, das zur Ausführung von beliebigem Code genutzt werden kann.
- CVE-2025-21298: Windows OLE Remote Code Execution-Schwachstelle, CVEv3 Score 9.8, critical; Ein Angreifer kann diese Sicherheitslücke ausnutzen, indem er eine speziell gestaltete E-Mail an ein Ziel sendet. Eine erfolgreiche Ausnutzung würde zu Remotecodeausführung auf dem Zielsystem führen, wenn die Zielperson diese E-Mail mit einer anfälligen Version von Microsoft Outlook öffnet oder wenn ihre Software in der Lage ist, eine Vorschau der E-Mail anzuzeigen. Es wird empfohlen, Microsoft Outlook so zu konfigurieren, dass E-Mails „im reinen Textformat" und nicht in einem Rich-Format gelesen werden.
Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar.
Ähnliche Artikel:
Microsoft Security Update Summary (14. Januar 2025)
Patchday: Windows 10/11 Updates (14. Januar 2025)
Patchday: Windows Server-Updates (14. Januar 2025)
Patchday: Microsoft Office Updates (14. Januar 2025)
Nachlese: Windows Patchday-Probleme Januar 2025
Windows 10/Server 2022: Dienst SgrmBroker startet nach Jan. 2025-Update (KB5049981) nicht mehr
Achtung: Probleme mit Windows Januar 2025-Updates und Citrix Umgebungen (Session Recordings)
Anzeige
Der digitale Zwilling der Produktivumgebung ist gepatcht und die automatisierten Tests sind gelaufen. Soweit keine erkennbaren Probleme in den Logs, was aber natürlich noch nicht viel heißen muß.
Das BSI hat aufgrund CVE-2025-21298 noch gestern eine Cyber-Sicherheitswarnungen veröffentlicht:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-213561-1032.pdf
Das ist schon recht bedrohlich, aber einiges bleibt hier unklar:
– Ist das mit dem aktuellen SU gefixt oder nicht? (falls ja: warum dann der Workaround?)
– Weiß jemand, ob das Neue Outlook auch betroffen ist? (nutzen tatsächlich erste Kunden freiwillig – und da gibt es keine Einstellungen mit Trust Center etc.)
Im BSI-PDF auf Seite 1 steht:
"Sicherheitslücke CVE-2025-21298 wurde […] geschlossen".
Auf Seite 2 steht:
"wenn Patches nicht unverzüglich eingespielt werden können,
mindestens vorübergehend den vom Hersteller empfohlenen Workaround anzuwenden"
—
Also
1.
Update installieren, weil dadurch die Sicherheitslücke geschlossen wird.
2.
Falls man das Update aus irgend einem Grund nicht installiert, dann muss man den Workaround machen.
Bin auch gerade am testen….der erste W11-Client lief gerade bei der Installation von KB5050009 in einen Fehler. Das erneute Herunterladen vom WSUS steht jetzt schon einige Zeit bei 0%. Dieser ganze MS-Dreck ist einfach nur noch zum kotzen. Ein Fehler der durch die Vorschauanzeige in einer Mail ausgenutzt werden kann? Haben die da etwa 20 Jahren abgehangenen Uralt-Code von Outlook Express oder gar Outlook 95 recycled?
Keine Probleme mit Server 2019 (de, VM)
Guten Tag, wir sehen zumindest auf Server 2022 folgendes Problem nach den Updates?
Windows Could not start the System Guard Runtime Monitor Broker service on local Computer on Server 2022.
Sieht das in der Community auch noch jemand?
LG
https://answers.microsoft.com/en-us/windowserver/forum/server_devices-servertop_winupdates/server-2022-windows-updates-january-2025-system/0b32c68b-c016-41f3-b5c1-4310d30a11bf
Der Fehler mit dem nicht startenden Dienst SgrmBroker betrifft auch:
– "Windows 10 IoT Enterprise LTSC 2021" (21H2).
KB5049981 (Rollup 2025-01)
– "Windows 10 Version 22H2"
Kann ich auch bestätigen:
– Windows 10 Version 22H2 Enterprise und Pro
Es kommt "Fehler 0x80070005: Zugriff verweigert" beim Versuch, den Dienst nochmals zu starten.
Nachtrag: das Problem mit KB5050009 scheint hier kein Einzelfall zu sein. Mindestens noch ein weiterer W11-Client (24H2) scheint betroffen zu sein, zeigt exakt dasselbe Verhalten.
Kann es sein das Microsoft aktuell die Updates für Office 365 Apps auf Terminalservern nicht verteilt?
Halten die es möglicherweise wegen dem Bug von neulich zurück?
Ich kriege sowohl in unserer 2016er als auch 2019er Terminalserverumgebung angezeigt das es auf dem aktuellsten Stand wäre, obwohl Version 2411 (18227.20162) installiert ist.
wieder mal teilweise absolute lahme downloads, bei gleich(artig)en rechnern im gleichen netz laden diverse rechner stundenlang die monatsupdates runter (win10, desktop, einfachste clients) und andere sind recht normal aber immer noch traege durch.
microsucks :(
Das betrifft alles Dinge, die ich nicht nutze oder die Präsenz des Angreifers voraussetzt. Für mich irrelevant.
Na endlich bekomme ich mal diese Info von dir, was hätte ich nur ohne sie gemacht? Vielen Dank. 😄