[English]Zum 13. Mai 2025 hat Microsoft ja zahlreiche Sicherheits-Updates für Windows, Office und weitere Produkte veröffentlich. Ich hatte zeitnah einen kurzen Überblick über die adressierten Schwachstellen gegeben. Sicherheitsanbieter Tenable hat mir im Nachgang noch deren Einschätzung zu den Sicherheitslücken übermittelt, die ich nachfolgend hier im Blog zur Information einstelle.
Im Mai 2025 hat Microsoft sieben Zero-Day-Schwachstellen gepatcht, von denen fünf in freier Wildbahn ausgenutzt wurden und zwei bereits vor Veröffentlichung der Patches bekannt waren. Vier der sieben Zero-Days waren Elevation-of-Privilege-Schwachstellen, zwei ermöglichten Remote Code Execution und eine war eine Spoofing-Schwachstelle.
CVE-2025-30397 in der Scripting Engine
CVE-2025-30397, eine Speicherkorruptions-Schwachstelle in der Scripting Engine, lässt sich nur ausnutzen, wenn das potenzielle Opfer Microsoft Edge im Internet Explorer Modus verwendet – eine hohe Hürde, wenn man bedenkt, dass Edge nur einen Marktanteil von 5 Prozent hat. Der Internet Explorer Modus wird verwendet, um Unternehmen bei Bedarf Abwärtskompatibilität zu bieten.
Darüber hinaus ist eine clientseitige Authentifizierung erforderlich und das potenzielle Opfer müsste auf einen vom Angreifer manipulierten Link klicken. Trotz bestätigter Ausnutzung des Bugs in freier Wildbahn ist es aufgrund der zahlreichen Hürden unwahrscheinlich, dass dies auf breiter Front geschieht.
In den letzten drei Jahren gab es nur wenige Scripting Engine Schwachstellen. Im August 2024 wurde jedoch ein weiterer Speicherkorruptions-Zero-Day in der Scripting Engine gemeldet: CVE-2024-38178. Laut Forschern und dem National Cyber Security Center (NCSC) der Republik Korea wurde dieser bereits in freier Wildbahn ausgenutzt. Es ist unklar, ob dies mit Folgeangriffen in Zusammenhang steht.
CVE-2025-30400 in DWM Core Library für Windows
CVE-2025-30400 ist eine der vier in diesem Monat gepatchten Elevation-of-Privilege-Schwachstellen. Sie betrifft die Desktop Window Manager (DWM) Core Library für Windows.
Seit 2022 wurden im Rahmen des Patch Tuesday 26 Elevation-of-Privilege-Schwachstellen in der DWM Core Library adressiert. Tatsächlich enthielt das April-Release Fixes für fünf Elevation-of-Privilege-Schwachstellen in der DWM Core Library. Vor CVE-2025-30400 wurden lediglich zwei Elevation-of-Privilege-Schwachstellen in der DWM Core Library als Zero-Days ausgenutzt: CVE-2024-30051 im Jahr 2024 und CVE-2023-36033 im Jahr 2023.
CVE-2025-32701 und CVE-2025-32706 im CLFS-Treiber
CVE-2025-32701 und CVE-2025-32706 sind beide Elevation-of-Privilege-Schwachstellen im Windows Common Log File System (CLFS) Driver. Das Common Log File System ist ein Allzweck-Protokollierungssubsystem, auf das sowohl Anwendungen im Kernelmodus als auch Anwendungen im Benutzermodus zugreifen können, um leistungsstarke Transaktionsprotokolle zu erstellen. Es wurde mit Windows Server 2003 R2 eingeführt und in späteren Windows-Betriebssystemen enthalten.
Das ist der zweite Monat in Folge, in dem eine Elevation-of-Privilege-Schwachstelle im CLFS als Zero-Day ausgenutzt wurde. CVE-2025-29824 wurde im April 2025 gepatcht und von einem als Storm-2460 bekannten Bedrohungsakteur ausgenutzt, der die PipeMagic-Malware einsetzte, um Ransomware in kompromittierten Umgebungen zu verbreiten.
Obwohl die genaue Methode der Ausnutzung von CVE-2025-32701 und CVE-2025-32706 in freier Wildbahn nicht bekannt ist, ist davon auszugehen, dass beide Teil von Post-Compromise-Aktivitäten waren, die entweder gezielter Spionage oder finanziell motivierten Aktivitäten wie der Verbreitung von Ransomware dienten. Seit 2022 wurden 33 Schwachstellen im CLFS Driver gemeldet – 28 davon waren Elevation-of-Privilege-Schwachstellen. Sechs dieser Schwachstellen wurden in freier Wildbahn als Zero-Days ausgenutzt (CVE-2022-37969, CVE-2023-23376, CVE-2023-28252, CVE-2024-49138, CVE-2025-29824).
CVE-2025-32709 in afd.sys
CVE-2025-32709 ist eine Elevation-of-Privilege-Schwachstelle in afd.sys, dem Windows Ancillary Function Driver. Dieser kommuniziert mit der Windows Sockets API (WinSock), um Windows Anwendungen die Verbindung zum Internet zu ermöglichen. Seit 2022 wurden im Rahmen des Patch Tuesday zehn Elevation-of-Privilege-Schwachstellen in afd.sys adressiert.
Die letzte Schwachstelle in afd.sys wurde im Februar 2025-Release veröffentlicht, und auch diese wurde als Zero-Day ausgenutzt. Ähnlich wie die anderen veröffentlichten Elevation-of-Privilege-Schwachstellen werden auch diese in der Regel im Rahmen von Post-Compromise-Aktivitäten ausgenutzt.
Mein Fazit
Wenn ich mir so anschaue, was Tenable bezüglich der in den letzten Monaten gepatchten Schwachstellen dokumentiert, wird mir ganz anders. Windows und Microsoft 365 kommen auf der einen Seite als wandelnde Sicherheitslücken (teilweise auf Kernfunktionen) daher. Auf der anderen Seite werden die Produkte von Microsoft mit Features überladen, die weitere Schwachstellen aufreißen. Und mit dem aufgepropften CoPilot bzw. den AI-Lösungen wird ein weiterer Angriffsvektor geschaffen.
Was mich besonders nervt: Eine Reihe der oben angerissenen Schwachstellen wurden als 0-days ausgenutzt. Auf der einen Seite bläst Microsoft „die Backen in Sachen LLMs auf“ und erklärt, wie toll das alles sei. Auf der anderen Seite sind es Akteure im Cyber-Space, die die Schwachstellen finden, Exploits entwickeln und ausnutzen. Ich hätte ja erwartet, dass bei Microsoft ein Team dran sitze, und seine Kernprodukte mit AI-Lösungen sowie Fuzzy-Techniken pausenlos auf Schwachstellen abklopft, um Schwachstellen schneller als böswilligere Akteure zu finden.
Scheint aber – zumindest aus Außensicht – nicht der Fall zu sein. Stattdessen wird eine Schicht Voodoo mit Schlangenöl (VBS, Defender, MoW etc.) über die Produkte gekippt, in der Hoffnung, dass die Marketing-Folien für die Nutzer da draußen, die das alles alternativlos finden, überzeugend aussehen. Irgendwie ist das alles arg kaputt – und das Bild, was ich von Microsoft seit den 80er Jahren habe (Produkte von anderen aufkaufen, große Versprechen machen, das Ganze dann aber arg spät und mehr schlecht als recht umgesetzt, auf den Markt zu werfen), sich auch 2025 in keiner Weise geändert hat. Oder wie seht bzw. empfindet ihr das so?
Ähnliche Artikel:
Microsoft Security Update Summary (13. Mai 2025)
Patchday: Windows 10/11 Updates (13. Mai 2025)
Patchday: Windows Server-Updates (13. Mai 2025)
Patchday: Microsoft Office Updates (13. Mai 2025)
Stimm Ihnen ja eigentlich voll zu… nur immer dieses Alternativlos Gebashe… Linux ist auch nicht fehlerfrei! Und dann nennen Sie doch bitte mal Alternativen die über 08/15 Anwendung hinausgehen… es ist schlichtweg nicht möglich MS den Rücken zu kehren!
Solange nicht alle Anwendungen auch unter Linux (oder auch MacOS) laufen und zwar lückenlos und in gleicher Qualität was die Funktionen usw. betrifft! Ne Linux Software welche halt nicht mal ansatzweise die Funktionen bietet was ein Windows Pedant liefert ist keine Alternative.
Ja Office surfen streamen Musik hören (und da fängst schon an mit der Hardware Unterstützung)… geht sehr gut, nur ist das eben meistens nix was man als Firma braucht… und auch nichts als Privatprofi, der mehr als nur vorhergenanntes macht.
Den Linux Shice höre ich seit über 40 Jahren… über 40 Jahre nix als heisse Luft!
Ich bin Privat mit dem VIC1001/VIC20 eingestiegen, sogar bereits 1 Jahr bevor er hier erhältlich war, 1980direkt aus dem Ausland mitgebracht und beruflich schon früher Großrechner noch mit Lochkarten programmiert… Hab also diverse OS mitgemacht…
Mir ist das darunterliegende OS doch vollkommen egal, nur liefern muss es und das tut derzeit immer noch nur Windows! Und das obwohl Linux eigentlich mehr Manpower hat als jede andere Firma… schändlich!
Komisch, im Beitrag (hab die Suche benutzt), kommt das Wort Linux kein einziges Mal vor. Nur hier im Kommentar! Was soll mir das nur sagen?
Spoiler: Der Wechsel findet schlicht im Kopf der Anwender statt. Wenn ich hier in Kommentaren lese „MS 365 in Lizenz xyz kostet mich nur 12 Euro/Monat“ und dann setzen die a bisserl Outlook ein oder machen alle Jubeljahre mal ein Word-Schreiben, könnte ich ko*zen. Ist schon Recht, dass MS die Leute am Nasenring durch die digitale Arena schleift. Die wollen das doch …
> Wenn ich hier in Kommentaren lese „MS 365 in Lizenz xyz kostet mich nur 12 Euro/Monat“ und dann setzen die a bisserl Outlook ein oder machen alle Jubeljahre mal ein Word-Schreiben,
Es gibt zu viele Blöde, die 144 Euro im Jahr zum Fenster rausschmeißen. Und sich dann beschweren, daß sie nicht genügend Geld haben.
Ich verweise im privaten auf Libre Office und Mozilla Thunderbird.
Okay, muss man sich reinfuchsen.
Wenn man die Leute fragt, warum es MS Office sein muss, bekommt man immer die gleichen Antworten.
ach so, und DIESE Leute argumentieren auch mit lebenslangem Lernen! – Kopf klatsch
Zum Stichwort Alternativlos…
Ich habe seit 2007 keine Microsoft Software mehr produktiv im Einsatz. Und rolle seit ca. 2016 in Unternehmen Linux und Open Source Software aus und ersetze vornehmlich Windows-Lösungen.
Und jetzt Du wieder…
Autodesk Inventor, ERP-Systeme, Adobe Produkte und und und, sie haben noch nie für ein KMU in der IT gearbeitet, oder?
Ich sehe eure Argumente durchaus. Aber es kann mir keiner erzählen, das Hinz und Kunz auf seinem privaten PC mit diesem Besteck auffährt und dringend drauf angewiesen ist. Wir hatte gerade das Thema kostenlose MS 365 Business Premium Lizenz für non-profit-Organisationen gekündigt. Gab hier Kommentare, dass man das genutzt habe, um ein Office auf einem Vereins-PC zu installieren. Solange die Lemminge begeistert über die Klippe springen – machen die anderen auch so – wird sich nie was ändern.
Es geht nicht darum, sofort alles auf Linux oder Open Source umzustellen. Aber an vielen Stellen könnte man schon hinterfragen: „Muss das so wie bei der Masse sein, oder gäbe es was Alternatives“.
Hallo Herr Born, machen Sie doch mal bitte einen ambitionierten Vergleichstest für anspruchsvolle Hobbyfotografen für hochqualitativen Fotobearbeitung unter Linux und Windows, meinetwegen auch für Mac. Das ist bestimmt auch für Fotoclubs interessant, die jetzt keine kostenlosen Office-Lizenzen für ihren Vereins-PC bekommen, die können dann ja auf das tolle Gespann Linux mit Libreoffice und Gimp umsteigen.
„Hochqualitativ“ setzt als Eingangsmaterial kein JPG-Format aus dem Handy vorraus, sondern eins der bei Spiegelreflex- oder Spiegellosen Systemkameras (Canon, Nikon, Sony, Sigma, Pentax, …) üblichen RAW-Formate mit mehr als 8 Bit pro RGB-Kanal, übliche Spiegelreflex-Kameras liefern da inzwischen 12 oder 16 Bit, so dass man aus so einem Foto teils noch extreme Belichtungskorrekturen von mehreren Blendenstufen und HDR aus einem einzelnen Foto holen kann, ohne eine „Bracketing“ Funktion einer Kamera zu nutzen, bei der die Kamera (auf Stativ!) nacheinander 3 Aufnahmen mit drei Blendenstufen (-1, 0 , +1) machen muss, die man dann per Software zu einem HDR übereinander legt. Nur mal so zur Einstufung, so ein RAW-Bild hat je nach Kamerauflösung auch gerne schonmal 50 MB oder mehr.
Der Vergleich sollte neben der RAW-Entwicklung auch Funktionen wie Belichtungskorrekturen, Objektiv-Verzeichniskorrekturen, Entrauschen (bei Aufnahmen mit nicht optimalen Lichtverhältnissen, Wetter, Dämmerung, Nacht, Langzeitbelichtungen), Perspektivkorrekturen („stürzende Linien“), Detailverbesserungen (rote Augen, störende Elemente entfernen, Schärfen, Weichzeichnen, …), mehrebenige Bearbeitungen und Filtern, und solche Sachen umfassen.
Ein ganz wichtiges Thema muss dabei auch das Thema „Farbprofile“ und durchgängige SRGB (oder AdobeRGB) Unterstützung sein, damit über verschiedene Monitore, Drucker und Dienstleister für großformatige Drucke/Papierbelichtungen hinweg exakt die gleichen Farben und Kontraststufen dargestellt werden. Auch wichtig ist die Verarbeitungsperformance, schließlich will man nicht lange auf die Bearbeitung / Berechnung der einzelnen Filter warten, hier setzen einige Programme auf eine Beschleunigung der Funktionen durch die Grafikkarte (OpenGL, DirectX, CUDA, Vulcan, usw.).
Natürlich werden Sie unter Linux nicht um Darktable und Gimp (aktuell Version 3 immerhin endlich mit durchgehender Gegl-Unterstützung, was mehr als 8 Bit pro Farbkanal unterstützt) herumkommen, das sind dort die Vorzeigeprojekte, von denen die Zeitgenossen immer wiederholen, dass das gut ist. Unter Windows/Mac haben Sie dann Affinity-Photo, DxO, Lightroom, Photoshop-Essentials und der preislich für Hobbyisten eher nicht leistbare Photoshop aus der Creative Suite und noch viel mehr zur Auswahl (natürlich auch Gimp). Von den Kauf/Mietprogrammen gibt es teils 30 Tage lauffähige Testversionen, die für den Test ausreichen. Natürlich können Sie dabei auch die Lizenzkosten in Bezug auf die Leistungsfähigkeit der Software einbeziehen, auch im Verhältnis was eine gute Kamera mit Objektiven der oben genannten Kategorien und Hersteller so kostet (nur mal so als kleiner Wink: Affinity Photo bekommt man als Dauerlizenz bei bestimmten Gelegenheiten schon für weniger als was ein guter 67mm bzw. 72mm Polfiter kostet.)
Mit dem Vergleich können Sie dann uns Lesern zeigen, dass man mit Linux im Privatbereich wirklich alles machen kann. Und am Ende springt dabei vielleicht sogar noch ein neues Buchprojekt zur ambitionierten Fotobearbeitung im Jahr 2025 am PC unter Linux (oder am Ende dann doch für Windows/Mac?) dabei heraus, falls sich sowas noch lohnt.
Ähem, wünschen kann man sic das ja. Aber warum sollte ich über dieses Stöckchen springen. Ich liefere Anregungen zum Nachdenken, springen muss jeder selbst – und ab da ist es dann ggf. selbst verursachtes Leid.
wenn es der Kundenkreis zulässt, natürlich sofort. Es gibt aber Branchen da kannst du einpacken, hier in Österreich ist es z.b. bei Rechtsanwälten absolut unmöglich auch nur irgendwie an FOSS zu denken, leider
Mein Fazit:
„Wenn ich mir so anschaue, was Tenable bezüglich der in den letzten Monaten gepatchten Schwachstellen anschaue, wird mir ganz anders.“
Verstehe ich jetzt nicht. Eigentlich ist diese Einschätzung von Tenable, soweit die Angriffsvektoren einigermaßen im Detail vorliegen, doch ganz gut, nehmen wir nur mal die IE-Modus-Sache, wie hier korrekt beschrieben ist, ist die Ausnutzung dieser Schwachstelle doch schon ziemlich schwer, da hier eine größere Anzahl Vorraussetzungen erfüllt sein müssen, damit überhaupt was passiert. In gut verwalteten Umgebungen ist der IE-Modus außerden per Gruppenrichtlinien konfiguriert, so dass ein Anwender ihn nicht einfach einschalten kann, was die Ausnutzungsschance nochmal näher gegen Null laufen lässt.
Gut, dass 5 Lücken tatsächlich schon aktiv ausgenutzt werden, ist nicht gut, aber jetzt wo sie bekannt sind, stehen Updates zur Verfügung, jetzt wäre nur fahrlässig, sie nicht zu installieren.
Eine andere, kaum beachtete Schwachstelle dieses Patchdays macht mir viel mehr Sorgen, sie wurde aber selbst von Microsoft nur als „Important“ eingestuft:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29968
Da gehts um Windows basierte Certhificate Authorities. Mir ist ein Fall bekannt, in dem ein Angreifer über falsch konfigurietre Zertifikatstemplates sich Domain-Admin-Rechte erschleichen konnte, in dem er sich einfach ein passendes Anmelde-Zertifikat eines entsprechenden Admins ausgestellt hat, ohne dessen 2FA-Anmeldung durchlaufen zu müssen. Die Umgebung war dann im Sack. Das war nicht diese Lücke, sondern eher selbst verschuldet durch die Admins, weil die ACLs der Templates falsch gesetzt waren. Seit dem ist mir aber klar, dass man mit Lücken auf der (Sub-)CA nicht spaßen sollte, insbesondere wenn man sich die von MS dokumentierte Attack-Metric von CVE-2025-29968 ansieht.
Attack Vector Network
Attack Complexity Low
Privileges Required Low
User Interaction None
Schön, nicht? Hoffnung macht momentan nur:
Exploit Code Maturity Unproven
Für mich war nach Bewertung der CVEs dieses Patchdays klar, dass unsere (SUB)CA-Infrastrukur eins der ersten Systeme ist (die Root-CA ist immer aus und liegt auch nicht einfach so als VM rum, so wie es Best Practize ist), was gepatcht werden musste, nachdem erste Testsysteme erfolgreich upgedated waren.
der zitierte Satz war mir verunglückt, ich habe ein Wort korrigiert, so dass der Sinn klarer werden sollte.
Jo alternativ los, die Windows Software wird gemolken ohne wirklich neues im Kern zu schreiben. Software die Anfang 2000 geschrieben wurde, ist halt anders wie wenn man sie heute schreiben würde.
Im Geschäftsumfeld sehe ich Software die nur auf Windows läuft. Es wird auch neue Software beschafft ohne zu hinterfragen muss es unbedingt auf Windows laufen. Diesen Berg los zu werden ist schier unmöglich. Das weiß auch Microsoft. Daher können sie sich die schlechte Software Qualität schlicht leisten. Monopol und so.