Im Mai 2025 hat Microsoft im Rahmen seines regelmäßigen Patch Tuesday eine umfassende Sicherheitsaktualisierung veröffentlicht, die insgesamt 78 Sicherheitslücken in verschiedenen Microsoft-Produkten schließt. Besonders im Fokus standen dabei fünf Zero-Day-Schwachstellen, die bereits aktiv von Cyberkriminellen genutzt wurden. Zero-Day-Sicherheitslücken sind besonders kritische Schwachstellen, da sie bekannt sind, bevor ein offizieller Patch zur Verfügung steht, und somit eine große Gefährdung für Anwender und Unternehmen darstellen. Die Sicherheitsupdates adressieren mehrere schwerwiegende Fehler in der Windows-Betriebssystemarchitektur, einschließlich der DWM Core Library, verschiedenen Kernel-Treibern sowie Sicherheitsproblemen in Microsofts Azure-Cloudprodukten. Gleichzeitig wurden Schwachstellen in Visual Studio und Microsoft Defender for Identity behoben, die potenziell Exploits ohne Authentifizierung ermöglichten.
Unter den behobenen Lücken befinden sich verschiedene Privilegieneskalationsfehler, die es Angreifern ermöglichten, lokale Benutzerrechte auf SYSTEM-Level hochzustufen. Dies ist besonders gefährlich, da SYSTEM-Privilegien nahezu uneingeschränkten Zugriff auf das gesamte Betriebssystem gewähren und die Ausführung schädlicher Aktionen ohne weitere Einschränkungen ermöglichen. Eines der prominentesten Beispiele ist die Schwachstelle CVE-2025-30400, welche in der DWM Core Library auftrat. DWM (Desktop Window Manager) ist eine essenzielle Komponente von Windows, die die Darstellung der Benutzeroberfläche steuert. Hier erlaubte eine „Use-after-free“-Fehlfunktion autorisierten Angreifern, die eigenen Rechte zu erweitern und so tiefere Systemzugriffe zu erlangen.
Besonders kritisch ist diese Schwachstelle auf Windows Server 2025, da Serverumgebungen erhöhten Schutz benötigen. Weitere Schwachstellen, die über Kernel-Treiber adressiert wurden, betreffen die Windows Common Log File System (CLFS) Treiber. Dabei handelt es sich um CVE-2025-32701 und CVE-2025-32706, die ähnliche Privilegieneskalationsprobleme innehaben. Auch hier konnten lokale Angreifer durch fehlerhafte Speicherverwaltungs- und Eingabeprüfungen Rechte auf SYSTEM-Level erhalten. Die fehlerhafte Datenvalidierung ist eine häufige Ursache für solche Schwachstellen.
Beide Fehler basieren auf „Use-after-free“-Bugs beziehungsweise unzureichender Eingabeverifizierung, was darauf hinweist, dass in kritischen Systemkomponenten teilweise noch umfangreiche Sicherheitsschwächen existieren. Ein weiteres besorgniserregendes Problem wurde im Windows Ancillary Function Driver für WinSock identifiziert (CVE-2025-32709). Hier konnten Angreifer ebenfalls lokale Privilegien eskalieren, indem sie einen „Use-after-free“-Fehler ausnutzten. WinSock ist eine Schnittstelle, die Netzwerkverbindungen unter Windows ermöglicht; eine Kompromittierung dieses Treibers kann weitreichende Folgen für die Systemsicherheit haben, da er eng mit Kommunikations- und Netzwerkelementen verzahnt ist. Neben den Privilegieneskalationen ist auch eine besonders gefährliche Remote-Code-Ausführungs-Schwachstelle in Microsofts Scriptengine aufgetreten (CVE-2025-30397).
Diese Memory-Corruption-Vulnerabilität erlaubt es Angreifern, Schadcode aus der Ferne auszuführen, wenn ein Zielsystem über Microsoft Edge oder Internet Explorer eine speziell präparierte Webseite oder Datei aufruft. Verantwortlich ist ein sog. Typverwechslungsfehler (type confusion), der fehlerhafte Interpretationen von Ressourcenzugriffen verursacht und so die Ausnutzung ermöglicht. Um eine erfolgreiche Attacke durchzuführen, müssen Angreifer ein Opfer dazu bringen, eine speziell manipulierte HTML-Seite anzuklicken, was eine Form von Social Engineering erfordert. Trotzdem ist die Gefahr enorm, insbesondere in Unternehmen, in denen Benutzer oftmals auf ungesicherte Links klicken oder ältere Browser verwenden.
Microsoft hat zwar bisher keine detaillierten Informationen veröffentlicht, wie genau die fünf Zero-Day-Lücken in der Praxis ausgenutzt wurden, doch die aktive Ausnutzung in Angriffsszenarien zeigt, dass Legacy-Systeme und nicht gepatchte Rechner besonders anfällig sind. Deshalb betont Microsoft die Dringlichkeit, die Sicherheitsupdates schnellstmöglich einzuspielen, um den Schaden durch mögliche Angriffe zu minimieren. Darüber hinaus wurden zwei weitere Zero-Day-Schwachstellen bekannt, die noch vor Veröffentlichung der Patches öffentlich bekannt geworden sind. Die erste betrifft Microsoft Defender for Identity (CVE-2025-26685), wo eine unzureichende Authentifikation es Angreifern ermöglicht, Kontenspoofing über lokale Netzwerke durchzuführen. Dadurch kann ein Angreifer mit Zugang zum gleichen Netzwerk vortäuschen, ein legitimer Nutzer zu sein, was insbesondere für Unternehmen mit sensiblen Daten oder ungesicherten WLAN-Netzwerken eine ernsthafte Bedrohung darstellt.
Die zweite öffentliche Zero-Day-Schwachstelle (CVE-2025-32702) befindet sich in Visual Studio und ermöglicht durch eine fehlerhafte Behandlung speziell gestalteter Kommandos die lokale Ausführung von schädlichem Code. Diese Command Injection ist besonders gefährlich für Entwicklerumgebungen, da infizierte Visual Studio-Instanzen als Eintrittspunkt für weiterreichende systemweite Angriffe dienen können. Angreifer können so potenziell Schadcode auf Entwicklungsmaschinen einschleusen und übertragbare Sicherheitsrisiken schaffen. Neben Windows-basierten Produkten und Entwicklungsumgebungen wurden im Mai auch mehrere kritische Fehler in Microsofts Cloud-Plattform Azure beseitigt. Hervorzuheben ist die Schwachstelle CVE-2025-29813, die mit einem maximalen CVSS-Score von 10 bewertet wurde und das Umgehen der Authentifizierung in Azure DevOps Server ermöglichte.
Microsoft meldet, dass das Problem serverseitig bereits behoben und in der Cloud eingespielt wurde, sodass Kunden keine weiteren Maßnahmen ergreifen müssen. Weitere Azure-Schwachstellen betreffen potenzielle lokale Privilegieneskalationen bei Azure Automation (CVE-2025-29827) sowie eine Spoofing-Lücke in Azure Storage Services (CVE-2025-29972), welche böswilligen Akteuren ermöglichen können, gefälschte Anfragen zu initiieren und dadurch Sicherheitsperimeter zu umgehen. Die kumulative Sicherheitsaktualisierung verdeutlicht einmal mehr, wie wichtig es ist, Systeme zeitnah mit den neuesten Patches zu versorgen. Gerade Zero-Day-Lücken, die bereits aktiv ausgenutzt werden, stellen eine unmittelbare Gefahr dar und können Unternehmen großflächig kompromittieren. Empfohlen wird, sowohl in privaten als auch in Unternehmensnetzwerken, die Windows-Systeme und zugehörige Microsoft-Produkte kontinuierlich aktuell zu halten und zudem den Einsatz von Sicherheitslösungen zu intensivieren, die potenzielle Exploits frühzeitig erkennen und abwehren können.
Darüber hinaus sollten Unternehmen strenge Zugangs- und Netzwerkregeln implementieren, um lateral Movement, das heißt seitliche Bewegungen von Angreifern im Netzwerk, zu erschweren. Anwender sollten besonders vor Phishing-Angriffen sensibilisiert werden, da viele Zero-Day-Exploits eine Form der Interaktion des Opfers voraussetzen. Die erhöhte Nutzung von Cloud-Diensten und die komplexen Abhängigkeiten verschiedener Microsoft-Produkte erhöhen die Angriffsfläche, weshalb eine holistische Sicherheitsstrategie unerlässlich ist. Zusammenfassend hat Microsoft mit den aktuellen Patches gravierende Sicherheitsmängel in Kernkomponenten von Windows sowie in Cloud-Diensten bereinigt. Die schnelle Veröffentlichung und Verteilung dieser Updates ist entscheidend, um die Gefährdung durch aktive Exploits zu minimieren und das Vertrauen in die Microsoft-Plattformen zu stärken.
Benutzer und Administratoren sollten die Aktualisierungen als Priorität behandeln und sich vergewissern, dass ihre Systeme vollständig geschützt sind, um Angriffen vorzubeugen und die Integrität ihrer IT-Infrastruktur zu gewährleisten.
