{"id":310846,"date":"2025-04-23T12:59:57","date_gmt":"2025-04-23T10:59:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=310846"},"modified":"2025-04-24T10:48:57","modified_gmt":"2025-04-24T08:48:57","slug":"neue-sicherheitsluecke-durch-april-2025-patch-fuer-windows-symlink-schwachstelle-cve-2025-21204","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/04\/23\/neue-sicherheitsluecke-durch-april-2025-patch-fuer-windows-symlink-schwachstelle-cve-2025-21204\/","title":{"rendered":"April 2025-Patch f\u00fcr Windows Symlink Schwachstelle CVE-2025\u201321204 rei\u00dft neue Sicherheitsl\u00fccke"},"content":{"rendered":"

\"Windows\"[English<\/a>]Zum 8.\/9. April 2025 hat Microsoft zahlreiche Sicherheitsupdates f\u00fcr die unterst\u00fctzten Windows-Versionen ausgerollt, die auch die Symlink-Schwachstelle CVE-2025\u201321204 schlie\u00dfen sollte. Wellen schlug dies durch den auf allen Windows-Systemen per Patch angelegten Ordner Inetpub.<\/em> Nun wird bekannt, dass durch die Sicherheitsupdates eine neue Schwachstelle aufgerissen wurde. Jeder lokale Nutzer kann die Update-Installation dauerhaft unterbinden.<\/p>\n

<\/p>\n

April 2025-Updates und der Inetpub-Ordner<\/h2>\n

\"\"Zum 8. April 2025 (und f\u00fcr manche Windows-Versionen zum 9. April 2025) wurden die Sicherheitsupdates f\u00fcr Windows ver\u00f6ffentlicht. Diese schlie\u00dfen verschiedene Schwachstellen (siehe auch Microsoft Security Update Summary (8. April 2025)<\/a>).<\/p>\n

Unter anderem wurde die Windows Symlink Schwachstelle CVE-2025\u201321204<\/a> mit einem Fix bedacht. Eine unsachgem\u00e4\u00dfe Linkaufl\u00f6sung vor dem Dateizugriff (\"Link Following\") im Windows Update Stack erm\u00f6glichte es einem autorisierten Angreifer, seine Rechte lokal zu erweitern, hei\u00dft es bei Microsoft. Die Schwachstelle ist mit einem CVSS 3.1-Wert von 7.8 als \"Important\" bewertet worden.<\/p>\n

Im Supportbeitrag zur Schwachstelle CVE-2025\u201321204<\/a> hei\u00dft es, dass nach Installation des April 2025-Updates unter Windows ein neuer Ordner %systemdrive%\\inetpub<\/em> erstellt werde. Dieser Ordner sollte nicht gel\u00f6scht werden, unabh\u00e4ngig davon, ob die Internetinformationsdienste (IIS) auf dem Zielger\u00e4t aktiv sind, schrieb Microsoft. Denn dieses Verhalten sei Teil der \u00c4nderungen, die den Schutz von Windows erh\u00f6hen sollen. Es seiten keine Ma\u00dfnahmen von IT-Administratoren und Endbenutzern erforderlich, hie\u00df es. Ich hatte im Blog-Beitrag Windows 10\/11: April 2025-Updates legen Ordner \"inetpub\" an<\/a> \u00fcber den Sachverhalt berichtet.<\/p>\n

Neue Schwachstelle durch Patches aufgerissen<\/h2>\n

Das Patchen der Symlink Schwachstelle CVE-2025\u201321204<\/a> im April 2025 durch Microsofts Sicherheitsupdates ist aber wohl in die Hose gegangen. Sicherheitsforscher Kevin Beaumont weist in nachfolgendem BlueSky-Post darauf hin, dass Microsofts Fix f\u00fcr eine Symlink-Schwachstelle eine weitere Symlink-Schwachstelle aufrei\u00dft.<\/p>\n

\"Kevin<\/p>\n

Durch die neue Schwachstelle k\u00f6nnen alle Benutzer (auch Nicht-Administratoren) alle zuk\u00fcnftigen Windows-Sicherheitspatches stoppen. Beaumont hat die Details in seinem Beitrag\u00a0Microsoft's patch for CVE-2025\u201321204 symlink vulnerability introduces another symlink vulnerability<\/a> auf DoublePulsar offen gelegt (Martin ist das hier<\/a> aufgefallen).<\/p>\n

\"Symlink<\/a><\/p>\n

Jeder Benutzer (Administrator oder Standard-Nutzer) kann mit dem Befehl mklink<\/em> in einer Eingabeaufforderung mit dem Befehl:<\/p>\n

mklink \/j c:\\inetpub c:\\windows\\system32\\notepad.exe<\/pre>\n
einen neuen Symlink (junction point) vom Ordner %systemdrive%\\inetpub\u00a0<\/em>auf eine andere Ressource anlegen. Beaumont hat das in obigem Screenshot durch einen Symlink auf den Windows Editor Notepad.exe<\/em> demonstriert.<\/p>\n
Ist der Junction Point auf %systemdrive%\\inetpub<\/em> angelegt, l\u00e4sst sich laut Beaumont das Windows-Update vom April 2025 nicht mehr installieren. Bei der Update-Installation tritt ein Fehler auf und\/oder die Installation wird zur\u00fcckgerollt.<\/p>\n
\"Windows<\/p>\n
Diese Update-Blockade gilt auch f\u00fcr alle k\u00fcnftigen Updates, sofern Microsoft nicht nachbessert. Beaumont hat Microsoft vor 2 Wochen auf das Problem hingewiesen, bisher aber keine Antwort erhalten.<\/p>\n
Erg\u00e4nzung: Ich habe es mal in einer VM mit Windows 10 22H2 getestet. Wenn das April 2025-Sicherheitsupdate installiert und der Ordner inetpub<\/em> vorhanden ist, l\u00e4sst sich kein junction anlegen – wurde auch so in den nachfolgenden Kommentaren angemerkt.<\/p>\n
\u00c4hnliche Artikel:
\n<\/strong>Microsoft Security Update Summary (8. April 2025)<\/a>
\nPatchday: Windows 10\/11 Updates (8. April 2025)<\/a>
\nPatchday: Windows Server-Updates (8. April 2025)<\/a>
\nPatchday: Microsoft Office Updates (8. April 2025)<\/a>
\nWindows 10\/11: Preview Updates 22. April 2025<\/a><\/p>\n
Outlook 2016: Kalender-Zugriff nach April 2025-Update KB5002700 gesperrt<\/a>
\nWord\/Excel 2016: Abst\u00fcrze nach April 2025 Update KB5002700?<\/a>
\nWindows 10\/11: April 2025-Updates legen Ordner \"inetpub\" an<\/a>
\nWindows NTLM-Schwachstelle CVE-2025-24054 wird ausgenutzt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Zum 8.\/9. April 2025 hat Microsoft zahlreiche Sicherheitsupdates f\u00fcr die unterst\u00fctzten Windows-Versionen ausgerollt, die auch die Symlink-Schwachstelle CVE-2025\u201321204 schlie\u00dfen sollte. Wellen schlug dies durch den auf allen Windows-Systemen per Patch angelegten Ordner Inetpub. Nun wird bekannt, dass durch die Sicherheitsupdates … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8537,426,185,301,3694,2557],"tags":[8566,24,4328,4315,3288],"class_list":["post-310846","post","type-post","status-publish","format-standard","hentry","category-problem","category-sicherheit","category-update","category-windows","category-windows-10","category-windows-server","tag-patchday-4-2025","tag-problem","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/310846","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=310846"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/310846\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=310846"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=310846"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=310846"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}