Werbung
ALL-INKL.COM - Webhosting Server Hosting Domain Provider


 

Microsoft Februar-Update stopft 63 Schwachstellen inklusive zweier 0-Day-Lücken

Meldung von doelf, Mittwoch der 12.02.2025, 11:10:18 Uhr

logo

Am gestrigen Dienstag hatte Microsoft seine Februar-Updates veröffentlicht und wieder gab es zwei 0-Day-Lücken, also Schwachstellen, die Angreifer bereits im Vorfeld ausgenutzt hatten. Die 63 Sicherheitslücken stecken diesmal in Windows, Office, Edge (für Windows, iOS und Android), den Active Directory Domain Services, AutoUpdate (MAU), dem Azure Network Watcher, dem Deduplizierungsdienst für das robuste Dateisystem von Windows (ReFS), der Digestauthentifizierung, Dynamics 365 Sales, dem High Performance Compute Pack (HPC) Linux Node Agent, Outlook für Android, dem PC Manager, dem Streaming-Dienst, Surface sowie Visual Studio nebst Visual Studio Code. Dazu kommen drei Schwachstellen in Chrome (CVE-2025-0444, CVE-2025-0445 und CVE-2025-0451), welche Microsofts Webbrowser Edge (Chromium-basiert) betreffen, sowie eine Sicherheitslücke in Node.js (CVE-2023-32002), welches von Visual Studio verwendet wird.

Die Liste der verwundbaren Windows-Komponenten umfasst: CoreMessaging, Datenträgerbereinigungstool, DHCP-Server, DHCP-Client, DWM-Kernbibliothek, gemeinsame Nutzung der Internetverbindung (Internet Connection Sharing, ICS), Installer, Kerberos, Kernel, LDAP – Lightweight Directory Access-Protokoll, Message Queuing, NTLM, Remotedesktopdienste, Routing- und RAS-Dienst (RRAS), Setup Files Cleanup, Storage, Telefoniedienst, Telefonieserver, Update Stack, Win32 Kernel Subsystem und Zusatzfunktionstreiber für Winsock. Bei Office sind Excel und SharePoint verwundbar.

Betrachten wir zunächst die beiden 0-Day-Lücken:

  • CVE-2025-21418 ‐ Sicherheitsanfälligkeit im Windows-Zusatzfunktionstreiber für Winsock bezüglich Rechteerweiterungen:
    Diese Rechteerhöhung entsteht durch einen überlaufenden Stapelpuffer. Sie lässt sich leicht durch lokale Benutzer ausnutzen, ohne dass hierfür besondere Berechtigungen oder zusätzliche Benutzerinteraktionen erforderlich sind. Bei erfolgreicher Ausnutzung kann sich der lokale Benutzer erhöhte Systemrechte verschaffen. Betroffen sind Windows 10 und 11 sowie die Server von 2008 bis 2025.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: 7,8 (Basis); 7,2 (zeitlich)
  • CVE-2025-21391 ‐ Sicherheitsanfälligkeit in Windows Speicher bezüglich Rechteerweiterungen:
    Diese Rechteerhöhung entsteht durch eine fehlerhafte Auflösung von Verknüpfungen vor dem Dateizugriff. Sie lässt sich leicht durch lokale Benutzer ausnutzen, ohne dass hierfür besondere Berechtigungen oder zusätzliche Benutzerinteraktionen erforderlich sind. Bei erfolgreicher Ausnutzung können die Benutzer allerdings keine Daten abgreifen, sondern lediglich bestimmte Dateien löschen. Betroffen sind Windows 10 und 11 sowie die Server von 2016 bis 2025.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: 7,1 (Basis); 6,6 (zeitlich)

Kommen wir nun zu den besonders ernsten Schwachstellen:

  • CVE-2024-43602 ‐ Sicherheitsrisiko durch Remotecodeausführung im Microsoft High Performance Compute (HPC) Pack:
    Die höchste CVSS-v3.1-Einstufung ist diesmal die 9,0 und sie wurde nur einmal vergeben. Dennoch betrachtet Microsoft diesen Fehler nicht als kritisch, da er sich nur von Personen ausführen lässt, die Zugriff auf das Netzwerk haben, welches die anvisierten Cluster und Knoten verbindet. Der Angriff selbst geschieht über speziell gestaltete HTTPS-Anfragen an den Hauptknoten, dem eine Authentifizierung für bestimmte kritische Funktionen fehlt. Betroffen ist der HPC Pack in den Versionen 2016 und 2019.
    • Angriffsvektor: Angrenzend
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 9,0 (Basis); 7,8 (zeitlich)

Es folgen zwölf Fehler mit der CVSS-v3.1-Einstufung 8,8 (CVE-2025-21408, CVE-2025-21190, CVE-2025-21200, CVE-2025-21201, CVE-2025-21208, CVE-2025-21342, CVE-2025-21368, CVE-2025-21369, CVE-2025-21371, CVE-2025-21406, CVE-2025-21407 und CVE-2025-21410), welche in Edge (Chromium-basiert), der Digestauthentifizierung, dem Routing- und RAS-Dienst (RRAS) sowie dem Telefoniedienst und dem Telefonieserver stecken. Die Flicken für all diese Schwachstellen wurden seitens Microsoft nur als wichtig eingestuft.

Als kritisch werden derweil vier Schachstellen mit den CVSS-v3.1-Einstufungen 8,7 (CVE-2025-21177), 8,1 (CVE-2025-21376), 7,8 (CVE-2025-21381) und 7,1 (CVE-2025-21379) angesehen:

  • CVE-2025-21177 ‐ Sicherheitsrisiko durch Rechteerweiterungen in Microsoft Dynamics 365 Sales:
    Microsoft hat serverseitig eine kritische Sicherheitslücke in Dynamics 365 Sales geschlossen, welche eine Rechteerhöhung über Server-Side Request Forgery (SSRF) ermöglichte. Weitere Details wurden nicht benannt.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 8,7 (Basis); 7,6 (zeitlich)
  • CVE-2025-21376 ‐ Sicherheitsanfälligkeit im Windows Lightweight Directory Access Protocol (LDAP) bezüglich Remotecodeausführung:
    Nicht authentifizierte Angreifer können drei Fehler im LDAP-Protokoll ausnutzen, um dem Server eigenen Code unterzuschieben. Hierzu müssen sie allerdings zuerst eine Race-Bedingung für sich entscheiden, was in der Praxis recht schwer fallen soll. Abgesehen von der Race-Bedingung werden hierbei ein Stapelpuffer-Überlauf und ein Ganzzahlen-Unterlauf (Wrap oder Wraparound) ausgenutzt. Betroffen sind Windows 10 und 11 sowie die Server von 2008 bis 2025.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)
  • CVE-2025-21381 ‐ Sicherheitsanfälligkeit in Microsoft Excel bezüglich Remotecodeausführung:
    Lokale Benutzer können über Excel beliebigen Code ausführen, wenn eine nicht vertrauenswürdige Zeigerdereferenzierung ausgenutzt wird. Aus der Ferne gelingt ein solcher Angriff, wenn Benutzer zum Herunterladen eines speziell präparierten Tabellendokuments verleitet werden. Dieses muss dann nicht mal geöffnet werden, denn auch das Vorschaufenster ist hierbei ein Angriffsvektor. Betroffen sind die Microsoft 365 Apps für Enterprise, Excel 2016, Office 2019, Office LTSC 2021 und 2024 für Windows und macOS sowie der Office Online Server.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 7,8 (Basis); 6,8 (zeitlich)
  • CVE-2025-21379 ‐ Sicherheitsrisiko durch Remotecodeausführung im DHCP-Client-Dienst:
    Aufgrund des Zugriffs auf bereits aus dem Speicher gelöschte Objekte lässt sich dem DHCP-Client-Dienst beliebiger Code unterschieben. Hierzu muss sich der Angreifer im gleichen Netzwerksegment befinden, also hinter dem selben Netzwerk-Switch oder im selben virtuellen Netzwerk. Es handelt sich also um einen Machine-in-the-Middle-Angriff (MITM). Betroffen sind ausschließlich Windows 11 Version 24H2 und Windows Server 2025.
    • Angriffsvektor: Angrenzend
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 7,1 (Basis); 6,2 (zeitlich)

Projekte von Freunden
Robert Mehl erbringt alle fotografischen und redaktionellen Dienstleistungen rund um das Bauwesen:
Wort und Bild aus einer Hand