Microsoft hat im Mai 2025 eine Reihe von Sicherheitsupdates veröffentlicht, die insgesamt 78 Schwachstellen in unterschiedlichen Produkten des Unternehmens beheben. Unter diesen Fehlern befinden sich fünf Zero-Day-Exploits, die aktiv von Angreifern ausgenutzt werden. Damit unterstreicht der Software-Riese erneut die Notwendigkeit regelmäßiger Updates und stellt zugleich die Herausforderungen dar, denen moderne IT-Sicherheitsumgebungen gegenüberstehen. Die jüngsten Sicherheitslücken betreffen neben Windows-Systemen auch Azure DevOps Server, Microsoft Defender, den Chromium-basierten Edge-Browser sowie diverse Kernkomponenten des Betriebssystems. Besonders kritisch ist eine Schwachstelle im Azure DevOps Server, bewertet mit einem CVSS-Score von 10, welche von nicht autorisierten Angreifern genutzt werden kann, um Berechtigungen auf Netzwerkeebene zu eskalieren.
Microsoft hat die Lücke bereits in der Cloud behoben, sodass Nutzer keine manuellen Maßnahmen ergreifen müssen. Die Veröffentlichung der Updates erfolgt zusätzlich zu den bereits im Monat zuvor gepatchten acht Sicherheitsfehlern im Edge-Browser. Die gesamten 78 Schwachstellen untergliedern sich in elf als kritisch eingestufte Fehler, 66 als wichtig und eine als niedrig bewertet. Von großer Bedeutung sind dabei 28 Sicherheitsmängel mit Risiken für die Remote-Code-Ausführung, 21 Privilegieneskalationen und 16 Fälle, in denen sensible Informationen ungewollt preisgegeben werden könnten. Fünf Zero-Day-Schwachstellen, die aktiv ausgenutzt werden, stehen im Fokus der Aufmerksamkeit: Eine betrifft den Scripting Engine Memory Corruption in Microsofts Scripting Engine, deren Fehlverhalten Angreifern erlaubt, durch manipulierte Webseiten oder Skripte beliebigen Code auszuführen.
Damit kann unter Umständen die vollständige Systemkontrolle erlangt werden, insbesondere wenn administrative Rechte bestehen. Drei weitere Zero-Days beziehen sich auf Privilegieneskalationen in zentralen Windows-Komponenten. Dazu gehören Schwachstellen im Windows Desktop Window Manager (DWM) Core Library, sowie zwei Fehler im Common Log File System (CLFS) Treiber. Die fünfte Zero-Day-Lücke ist in der Ancillary Function Driver for WinSock Komponente lokalisiert und stellt erneut eine Schwachstelle für die Eskalation von Benutzerrechten dar. Die Entdeckungen stammen aus verschiedenen Quellen, darunter Microsofts eigener Threat Intelligence, Forscher von Google Threat Intelligence Group und der CrowdStrike Advanced Research Team, sowie anonyme Sicherheitsforscher.
Die wiederholte Ausnutzung von Privilegieneskalationen im DWM Core Library zeigt, dass Angreifer weiterhin gezielt Schwachstellen in Kernkomponenten des Betriebssystems ausnutzen. Seit 2022 wurden insgesamt 26 solcher Sicherheitsfehler in DWM gepatcht, von denen drei bereits als Zero-Day-Exploits eingesetzt wurden. Experten sehen hierin eine besondere Herausforderung, da Elevation of Privilege Schwachstellen Angreifern ermöglichen, mit geringeren Zugriffsrechten unter Umständen vollständige Kontrolle über ein System zu erlangen. Neben den Windows-spezifischen Fehlern weist Microsoft auch auf einen bedeutenden Bug im Microsoft Defender für Linux hin, durch den ein lokal autorisierter User seine Rechte erhöhen könnte. Der Fehler betrifft eine unsichere Vorgehensweise bei der Ermittlung der Java-Laufzeitumgebung via eines Python-Hilfsskripts, welches unbeabsichtigt das Ausführen bösartiger Dateien mit Root-Rechten erlaubt.
Weiterhin wurde eine Spoofing-Schwachstelle im Defender für Identity entdeckt, welche Angreifern mit Zugang zum lokalen Netzwerk erlaubt, sich durch Spoofing aufzuschalten. Dies kann im schlimmsten Fall eine Brücke für lateral movement Schlüsseletappen eines Angriffs darstellen und sensiblen Zugang zu Directory Services ermöglichen. Die Dringlichkeit zur Behebung der kritischen Sicherheitslücken spiegelt sich auch in den Maßnahmen der US-Cybersecurity and Infrastructure Security Agency (CISA) wider, die alle fünf aktiv ausgenutzten Zero-Day-Fehler in den Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen hat. Für Bundesbehörden besteht eine Pflicht, die entsprechenden Patches bis Anfang Juni 2025 einzuspielen, um sich vor Angriffen zu schützen. Die umfassenden Sicherheitsupdates zeigen jedoch nicht nur die sich verschärfende Bedrohungslage, sondern ebenfalls Microsofts fortwährenden Einsatz zur Absicherung seiner Softwareprodukte.
Gleichzeitig mahnen die Schwachstellen daran, wie wichtig die konsequente Aktualisierung der Systeme und Anwendungen ist, denn viele Angriffe zielen speziell auf ungepatchte Schwachstellen ab. Unternehmen und IT-Verantwortliche sollten daher den Rollout der Updates priorisieren und mit robusten Monitoring- und Schutzmechanismen ergänzen. Abseits von Microsoft wurden in den letzten Wochen zahlreiche Sicherheitsupdates von weiteren etablierten Herstellern wie Adobe, Amazon Web Services, Cisco, Google, Intel, Lenovo und vielen anderen veröffentlicht. Dies unterstreicht die andauernde Dynamik in der IT-Sicherheitslandschaft und den hohen Bedarf an regelmäßiger Wartung und Überprüfung aller eingesetzten Systeme. Gerade in Zeiten zunehmender digitaler Angriffe und hochentwickelter Malware-Varianten ist es für Organisationen essentiell, ein umfassendes Sicherheitskonzept zu verfolgen.
Dieses sollte neben dem Einspielen von Patches auch präventive Maßnahmen wie Netzwerksegmentierung, Zugriffssteuerungen, Nutzer-Schulungen und automatisierte Erkennungsverfahren für unerwünschte Aktivitäten einschließen. Die aktuellen Vorfälle mit Zero-Day-Ausnutzungen zeigen zudem, dass eine gute Zusammenarbeit zwischen Herstellern, Forschungsteams und Sicherheitsinstitutionen entscheidend ist, um Bedrohungen zeitnah zu erkennen und abzuwehren. Letztlich verdeutlichen die jüngsten Entdeckungen auch die Komplexität moderner IT-Infrastrukturen und wie vielschichtig die Angriffsmöglichkeiten inzwischen sind. Nicht nur herkömmliche Systeme, sondern auch Cloud-Services und Entwicklungsplattformen wie Azure DevOps Server rücken verstärkt in den Fokus von Angreifern. Besonders die Schwachstelle im Azure DevOps Server ist alarmierend, da sie Angreifern nicht nur ermöglicht, bestehende Rechte zu erhöhen, sondern auch potenziell den gesamten Entwicklungsprozess kompromittieren kann.
Obwohl Microsoft hier bereits präventive Maßnahmen in Form von Cloud-Patches ergriffen hat, zeigt sich, dass Unternehmen wachsam bleiben müssen. Schlussendlich können nur eine kontinuierliche Sicherheitsüberprüfung, frühzeitiges Patch-Management und ein nachhaltiges Bewusstsein für Cyberrisiken dabei helfen, die verteidigungsfähige IT-Umgebung sicher zu halten. Die jüngsten Sicherheitsupdates von Microsoft sind ein Weckruf für alle IT-Verantwortlichen, die Wichtigkeit eines aktiven und ganzheitlichen Sicherheitsmanagements nicht zu unterschätzen.
