{"id":311593,"date":"2025-05-17T20:00:13","date_gmt":"2025-05-17T18:00:13","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311593"},"modified":"2025-05-18T14:21:28","modified_gmt":"2025-05-18T12:21:28","slug":"mai-2025-patchday-einschaetzung-zu-schwachstellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/05\/17\/mai-2025-patchday-einschaetzung-zu-schwachstellen\/","title":{"rendered":"Mai 2025-Patchday: Tenable Einsch\u00e4tzung zu Schwachstellen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Zum 13. Mai 2025 hat Microsoft ja zahlreiche Sicherheits-Updates f\u00fcr Windows, Office und weitere Produkte ver\u00f6ffentlich. Ich hatte zeitnah einen kurzen \u00dcberblick \u00fcber die adressierten Schwachstellen gegeben. Sicherheitsanbieter Tenable hat mir im Nachgang noch deren Einsch\u00e4tzung zu den Sicherheitsl\u00fccken \u00fcbermittelt, die ich nachfolgend hier im Blog zur Information einstelle.<\/p>\n

<\/p>\n

Im Mai 2025 hat Microsoft sieben Zero-Day-Schwachstellen gepatcht, von denen f\u00fcnf in freier Wildbahn ausgenutzt wurden und zwei bereits vor Ver\u00f6ffentlichung der Patches bekannt waren. Vier der sieben Zero-Days waren Elevation-of-Privilege-Schwachstellen, zwei erm\u00f6glichten Remote Code Execution und eine war eine Spoofing-Schwachstelle.<\/p>\n

CVE-2025-30397 in der Scripting Engine<\/h2>\n

CVE-2025-30397<\/a>, eine Speicherkorruptions-Schwachstelle in der Scripting Engine, l\u00e4sst sich nur ausnutzen, wenn das potenzielle Opfer Microsoft Edge im Internet Explorer Modus verwendet \u2013 eine hohe H\u00fcrde, wenn man bedenkt, dass Edge nur einen Marktanteil von 5 Prozent hat. Der Internet Explorer Modus wird verwendet, um Unternehmen bei Bedarf Abw\u00e4rtskompatibilit\u00e4t zu bieten.<\/p>\n

Dar\u00fcber hinaus ist eine clientseitige Authentifizierung erforderlich und das potenzielle Opfer m\u00fcsste auf einen vom Angreifer manipulierten Link klicken. Trotz best\u00e4tigter Ausnutzung des Bugs in freier Wildbahn ist es aufgrund der zahlreichen H\u00fcrden unwahrscheinlich, dass dies auf breiter Front geschieht.<\/p>\n

In den letzten drei Jahren gab es nur wenige Scripting Engine Schwachstellen. Im August 2024 wurde jedoch ein weiterer Speicherkorruptions-Zero-Day in der Scripting Engine gemeldet: CVE-2024-38178. Laut Forschern und dem National Cyber Security Center (NCSC) der Republik Korea wurde dieser bereits in freier Wildbahn ausgenutzt. Es ist unklar, ob dies mit Folgeangriffen in Zusammenhang steht.<\/p>\n

CVE-2025-30400 in DWM Core Library f\u00fcr Windows<\/h2>\n

CVE-2025-30400<\/a> ist eine der vier in diesem Monat gepatchten Elevation-of-Privilege-Schwachstellen. Sie betrifft die Desktop Window Manager (DWM) Core Library f\u00fcr Windows.<\/p>\n

Seit 2022 wurden im Rahmen des Patch Tuesday 26 Elevation-of-Privilege-Schwachstellen in der DWM Core Library adressiert. Tats\u00e4chlich enthielt das April-Release Fixes f\u00fcr f\u00fcnf Elevation-of-Privilege-Schwachstellen in der DWM Core Library. Vor CVE-2025-30400 wurden lediglich zwei Elevation-of-Privilege-Schwachstellen in der DWM Core Library als Zero-Days ausgenutzt: CVE-2024-30051 im Jahr 2024 und CVE-2023-36033 im Jahr 2023.<\/p>\n

CVE-2025-32701 und CVE-2025-32706 im CLFS-Treiber<\/h2>\n

CVE-2025-32701<\/a> und CVE-2025-32706<\/a> sind beide Elevation-of-Privilege-Schwachstellen im Windows Common Log File System (CLFS) Driver. Das Common Log File System ist ein Allzweck-Protokollierungssubsystem, auf das sowohl Anwendungen im Kernelmodus als auch Anwendungen im Benutzermodus zugreifen k\u00f6nnen, um leistungsstarke Transaktionsprotokolle zu erstellen. Es wurde mit Windows Server 2003 R2 eingef\u00fchrt und in sp\u00e4teren Windows-Betriebssystemen enthalten.<\/p>\n

Das ist der zweite Monat in Folge, in dem eine Elevation-of-Privilege-Schwachstelle im CLFS als Zero-Day ausgenutzt wurde. CVE-2025-29824 wurde im April 2025 gepatcht und von einem als Storm-2460 bekannten Bedrohungsakteur ausgenutzt, der die PipeMagic-Malware einsetzte, um Ransomware in kompromittierten Umgebungen zu verbreiten.<\/p>\n

Obwohl die genaue Methode der Ausnutzung von CVE-2025-32701 und CVE-2025-32706 in freier Wildbahn nicht bekannt ist, ist davon auszugehen, dass beide Teil von Post-Compromise-Aktivit\u00e4ten waren, die entweder gezielter Spionage oder finanziell motivierten Aktivit\u00e4ten wie der Verbreitung von Ransomware dienten. Seit 2022 wurden 33 Schwachstellen im CLFS Driver gemeldet \u2013 28 davon waren Elevation-of-Privilege-Schwachstellen. Sechs dieser Schwachstellen wurden in freier Wildbahn als Zero-Days ausgenutzt (CVE-2022-37969, CVE-2023-23376, CVE-2023-28252, CVE-2024-49138, CVE-2025-29824).<\/p>\n

CVE-2025-32709 in afd.sys<\/h2>\n

CVE-2025-32709<\/a> ist eine Elevation-of-Privilege-Schwachstelle in afd.sys, dem Windows Ancillary Function Driver. Dieser kommuniziert mit der Windows Sockets API (WinSock), um Windows Anwendungen die Verbindung zum Internet zu erm\u00f6glichen. Seit 2022 wurden im Rahmen des Patch Tuesday zehn Elevation-of-Privilege-Schwachstellen in afd.sys adressiert.<\/p>\n

Die letzte Schwachstelle in afd.sys<\/em> wurde im Februar 2025-Release ver\u00f6ffentlicht, und auch diese wurde als Zero-Day ausgenutzt. \u00c4hnlich wie die anderen ver\u00f6ffentlichten Elevation-of-Privilege-Schwachstellen werden auch diese in der Regel im Rahmen von Post-Compromise-Aktivit\u00e4ten ausgenutzt.<\/p>\n

Mein Fazit<\/h2>\n

Wenn ich mir so anschaue, was Tenable bez\u00fcglich der in den letzten Monaten gepatchten Schwachstellen dokumentiert, wird mir ganz anders. Windows und Microsoft 365 kommen auf der einen Seite als wandelnde Sicherheitsl\u00fccken (teilweise auf Kernfunktionen) daher. Auf der anderen Seite werden die Produkte von Microsoft mit Features \u00fcberladen, die weitere Schwachstellen aufrei\u00dfen. Und mit dem aufgepropften CoPilot bzw. den AI-L\u00f6sungen wird ein weiterer Angriffsvektor geschaffen.<\/p>\n

Was mich besonders nervt: Eine Reihe der oben angerissenen Schwachstellen wurden als 0-days ausgenutzt. Auf der einen Seite bl\u00e4st Microsoft \"die Backen in Sachen LLMs auf\" und erkl\u00e4rt, wie toll das alles sei. Auf der anderen Seite sind es Akteure im Cyber-Space, die die Schwachstellen finden, Exploits entwickeln und ausnutzen. Ich h\u00e4tte ja erwartet, dass bei Microsoft ein Team dran sitze, und seine Kernprodukte mit AI-L\u00f6sungen sowie Fuzzy-Techniken pausenlos auf Schwachstellen abklopft, um Schwachstellen schneller als b\u00f6swilligere Akteure zu finden.<\/p>\n

Scheint aber – zumindest aus Au\u00dfensicht – nicht der Fall zu sein. Stattdessen wird eine Schicht Voodoo mit Schlangen\u00f6l (VBS, Defender, MoW etc.) \u00fcber die Produkte gekippt, in der Hoffnung, dass die Marketing-Folien f\u00fcr die Nutzer da drau\u00dfen, die das alles alternativlos finden, \u00fcberzeugend aussehen. Irgendwie ist das alles arg kaputt – und das Bild, was ich von Microsoft seit den 80er Jahren habe (Produkte von anderen aufkaufen, gro\u00dfe Versprechen machen, das Ganze dann aber arg sp\u00e4t und mehr schlecht als recht umgesetzt, auf den Markt zu werfen), sich auch 2025 in keiner Weise ge\u00e4ndert hat. Oder wie seht bzw. empfindet ihr das so?<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Microsoft Security Update Summary (13. Mai 2025)<\/a>
\nPatchday: Windows 10\/11 Updates (13. Mai 2025)<\/a>
\nPatchday: Windows Server-Updates (13. Mai 2025)<\/a>
\nPatchday: Microsoft Office Updates (13. Mai 2025)<\/a><\/p>\n

Windows 10\/11: Preview Updates 22. und 25. April 2025<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Zum 13. Mai 2025 hat Microsoft ja zahlreiche Sicherheits-Updates f\u00fcr Windows, Office und weitere Produkte ver\u00f6ffentlich. Ich hatte zeitnah einen kurzen \u00dcberblick \u00fcber die adressierten Schwachstellen gegeben. Sicherheitsanbieter Tenable hat mir im Nachgang noch deren Einsch\u00e4tzung zu den Sicherheitsl\u00fccken \u00fcbermittelt, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301],"tags":[4322,8585,4328,8391,3288],"class_list":["post-311593","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","tag-office","tag-patchday-5-2025","tag-sicherheit","tag-updte","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311593","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=311593"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311593\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=311593"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=311593"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=311593"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}