Qualys zum Microsoft Patch Tuesday
09.04.2025
Diksha Ojha, Technical Content Developer, Qualys
Microsoft Patch Tuesday für April 2025
In der Ausgabe des Patch Tuesday vom April 2025 hat Microsoft 134 Schwachstellen behoben, darunter 11 kritische und 110 wichtige Schwachstellen. In den Updates dieses Monats hat Microsoft eine Zero-Day-Schwachstelle behoben, die in freier Wildbahn ausgenutzt wurde.
Microsoft hat in den Updates dieses Monats 12 Schwachstellen in Microsoft Edge (Chromium-basiert) behoben.
Der Microsoft Patch Tuesday im April enthält Updates für Schwachstellen in Windows Hyper-V, Remote Desktop Gateway Service, Windows Routing and Remote Access Service (RRAS), Windows Common Log File System Driver, Windows TCP/IP, Visual Studio, Windows Active Directory Certificate Services, Windows Kerberos, Windows Kernel und mehr.
Microsoft hat mehrere Schwachstellen in verschiedenen Softwareprogrammen behoben, darunter Spoofing, Denial of Service (DoS), Elevation of Privilege (EoP), Offenlegung von Informationen und Remote Code Execution (RCE).
Die Microsoft-Schwachstellen vom April 2025 sind wie folgt klassifiziert:
Schwachstellen-Kategorie Anzahl Schweregrade
Spoofing-Schwachstelle 1 Wichtig: 1
Denial of Service-Schwachstelle 14 Wichtig: 14
Schwachstelle zur Erhöhung von Berechtigungen 49 Wichtig: 49
Schwachstelle zur Offenlegung von Informationen 17 Wichtig: 17
Schwachstelle zur Ausführung von Remote-Code 31 Kritisch: 20
Wichtig: 11
Schwachstelle zur Umgehung von Sicherheitsfunktionen 9 Wichtig: 9
Zero-Day-Schwachstellen, die in der April-Patch-Dienstag-Ausgabe behoben wurden
CVE-2025-29824: Windows Common Log File System-Treiber-Schwachstelle zur Erhöhung von Berechtigungen
Das Common Log File System (CLFS) ist ein universeller Protokollierungsdienst, der von Software-Clients verwendet wird, die im Benutzer- oder Kernelmodus ausgeführt werden. CLFS kann für Datenverwaltung, Datenbanksysteme, Messaging, Online-Transaktionsverarbeitung (OLTP) und andere Transaktionssysteme verwendet werden.
Der „Use After Free“-Fehler im Windows Common Log File System Driver könnte es einem authentifizierten Angreifer ermöglichen, seine Berechtigungen lokal zu erweitern. Bei erfolgreicher Ausnutzung kann ein Angreifer SYSTEM-Berechtigungen erlangen.
CISA hat die CVE-2025-29824 in seinen Katalog bekannter ausgenutzter Schwachstellen aufgenommen und damit die aktive Ausnutzung bestätigt. CISA fordert die Benutzer dringend auf, die Schwachstelle vor dem 29. April 2025 zu beheben.
Schwere Sicherheitslücken, die im April-Patch-Dienstag-Update behoben wurden
CVE-2025-26686: Windows TCP/IP-Sicherheitslücke bei der Ausführung von Remote-Code
TCP/IP steht für Transmission Control Protocol/Internet Protocol und ist eine Reihe von Kommunikationsprotokollen, die zur Verbindung von Netzwerkgeräten im Internet verwendet werden. TCP/IP wird auch als Kommunikationsprotokoll in einem privaten Computernetzwerk – einem Intranet oder Extranet – verwendet.
Ein Angreifer muss eine Race-Condition gewinnen, um die Schwachstelle auszunutzen. Die Speicherung sensibler Daten in einem nicht ordnungsgemäß gesperrten Speicher in Windows TCP/IP ermöglicht es einem nicht autorisierten Angreifer, Code über ein Netzwerk auszuführen.
CVE-2025-27752: Microsoft Excel-Schwachstelle für die Ausführung von Remote-Code
Der heap-basierte Pufferüberlauf in Microsoft Office Excel könnte es einem nicht authentifizierten Angreifer ermöglichen, Remote-Code auszuführen.
CVE-2025-29791: Microsoft Excel-Schwachstelle für die Ausführung von Remote-Code
Die Typverwechslung in Microsoft Office Excel könnte es einem nicht authentifizierten Angreifer ermöglichen, Remote-Code auszuführen.
CVE-2025-27491: Windows Hyper-V-Schwachstelle für die Ausführung von Remote-Code
Hyper-V ist das Hardware-Virtualisierungsprodukt von Microsoft, mit dem Benutzer virtuelle Maschinen (VMs) auf Windows Server und Windows 10/11 erstellen und ausführen können. Das Produkt ermöglicht eine bessere Hardware-Auslastung und Ressourcenverwaltung.
Ein Angreifer muss eine Race-Condition gewinnen, um die Schwachstelle auszunutzen. Der „Use After Free“-Fehler in Windows Hyper-V könnte es einem authentifizierten Angreifer ermöglichen, Remote-Code-Ausführung zu erreichen.
CVE-2025-27745, CVE-2025-27748 und CVE-2025-27749: Microsoft Office-Schwachstelle für die Ausführung von Remote-Code
Die „Use After Free“-Schwachstelle in Microsoft Office könnte es einem nicht authentifizierten Angreifer ermöglichen, Remote-Code auszuführen.
CVE-2025-27480: Windows-Remotedesktopdienste-Schwachstelle für die Ausführung von Remote-Code
Die „Use After Free“-Schwachstelle im Remote Desktop Gateway Service könnte es einem nicht authentifizierten Angreifer ermöglichen, Code aus der Ferne auszuführen. Ein Angreifer könnte diese Schwachstelle erfolgreich ausnutzen, indem er sich mit einem System mit der Rolle „Remote Desktop Gateway“ verbindet, die Race-Condition auslöst, um ein „Use After Free“-Szenario zu erstellen, und dann beliebigen Code ausführt.
CVE-2025-27482: Windows Remote Desktop Services-Schwachstelle für die Ausführung von Remote-Code
Im Remote Desktop Gateway Service kann die Speicherung sensibler Daten in nicht ordnungsgemäß gesperrtem Speicher es einem nicht authentifizierten Angreifer ermöglichen, Remote-Code auszuführen.
CVE-2025-26663 und CVE-2025-26670: Windows Lightweight Directory Access Protocol (LDAP) Client Remote Code Execution Vulnerability
Ein LDAP-Client ist eine Softwareanwendung oder ein Tool, das das Lightweight Directory Access Protocol (LDAP) verwendet, um mit einem Verzeichnisdienst zu interagieren, und so Aufgaben wie das Suchen, Abrufen und Verwalten von Informationen ermöglicht, die in einer hierarchischen Struktur gespeichert sind.
Der „Use After Free“-Fehler im Lightweight Directory Access Protocol könnte es einem nicht authentifizierten Angreifer ermöglichen, Remotecode auszuführen. Ein nicht authentifizierter Angreifer kann die Schwachstellen ausnutzen, indem er speziell gestaltete Anfragen an einen anfälligen LDAP-Server sendet.
Qualys zum Microsoft Patch Tuesday
09.04.2025
Diksha Ojha, Technical Content Developer, Qualys
Microsoft Patch Tuesday für April 2025
In der Ausgabe des Patch Tuesday vom April 2025 hat Microsoft 134 Schwachstellen behoben, darunter 11 kritische und 110 wichtige Schwachstellen. In den Updates dieses Monats hat Microsoft eine Zero-Day-Schwachstelle behoben, die in freier Wildbahn ausgenutzt wurde.
Microsoft hat in den Updates dieses Monats 12 Schwachstellen in Microsoft Edge (Chromium-basiert) behoben.
Der Microsoft Patch Tuesday im April enthält Updates für Schwachstellen in Windows Hyper-V, Remote Desktop Gateway Service, Windows Routing and Remote Access Service (RRAS), Windows Common Log File System Driver, Windows TCP/IP, Visual Studio, Windows Active Directory Certificate Services, Windows Kerberos, Windows Kernel und mehr.
Microsoft hat mehrere Schwachstellen in verschiedenen Softwareprogrammen behoben, darunter Spoofing, Denial of Service (DoS), Elevation of Privilege (EoP), Offenlegung von Informationen und Remote Code Execution (RCE).
Die Microsoft-Schwachstellen vom April 2025 sind wie folgt klassifiziert:
Schwachstellen-Kategorie Anzahl Schweregrade
Spoofing-Schwachstelle 1 Wichtig: 1
Denial of Service-Schwachstelle 14 Wichtig: 14
Schwachstelle zur Erhöhung von Berechtigungen 49 Wichtig: 49
Schwachstelle zur Offenlegung von Informationen 17 Wichtig: 17
Schwachstelle zur Ausführung von Remote-Code 31 Kritisch: 20
Wichtig: 11
Schwachstelle zur Umgehung von Sicherheitsfunktionen 9 Wichtig: 9
Zero-Day-Schwachstellen, die in der April-Patch-Dienstag-Ausgabe behoben wurden
CVE-2025-29824: Windows Common Log File System-Treiber-Schwachstelle zur Erhöhung von Berechtigungen
Das Common Log File System (CLFS) ist ein universeller Protokollierungsdienst, der von Software-Clients verwendet wird, die im Benutzer- oder Kernelmodus ausgeführt werden. CLFS kann für Datenverwaltung, Datenbanksysteme, Messaging, Online-Transaktionsverarbeitung (OLTP) und andere Transaktionssysteme verwendet werden.
Der „Use After Free“-Fehler im Windows Common Log File System Driver könnte es einem authentifizierten Angreifer ermöglichen, seine Berechtigungen lokal zu erweitern. Bei erfolgreicher Ausnutzung kann ein Angreifer SYSTEM-Berechtigungen erlangen.
CISA hat die CVE-2025-29824 in seinen Katalog bekannter ausgenutzter Schwachstellen aufgenommen und damit die aktive Ausnutzung bestätigt. CISA fordert die Benutzer dringend auf, die Schwachstelle vor dem 29. April 2025 zu beheben.
Schwere Sicherheitslücken, die im April-Patch-Dienstag-Update behoben wurden
CVE-2025-26686: Windows TCP/IP-Sicherheitslücke bei der Ausführung von Remote-Code
TCP/IP steht für Transmission Control Protocol/Internet Protocol und ist eine Reihe von Kommunikationsprotokollen, die zur Verbindung von Netzwerkgeräten im Internet verwendet werden. TCP/IP wird auch als Kommunikationsprotokoll in einem privaten Computernetzwerk – einem Intranet oder Extranet – verwendet.
Ein Angreifer muss eine Race-Condition gewinnen, um die Schwachstelle auszunutzen. Die Speicherung sensibler Daten in einem nicht ordnungsgemäß gesperrten Speicher in Windows TCP/IP ermöglicht es einem nicht autorisierten Angreifer, Code über ein Netzwerk auszuführen.
CVE-2025-27752: Microsoft Excel-Schwachstelle für die Ausführung von Remote-Code
Der heap-basierte Pufferüberlauf in Microsoft Office Excel könnte es einem nicht authentifizierten Angreifer ermöglichen, Remote-Code auszuführen.
CVE-2025-29791: Microsoft Excel-Schwachstelle für die Ausführung von Remote-Code
Die Typverwechslung in Microsoft Office Excel könnte es einem nicht authentifizierten Angreifer ermöglichen, Remote-Code auszuführen.
CVE-2025-27491: Windows Hyper-V-Schwachstelle für die Ausführung von Remote-Code
Hyper-V ist das Hardware-Virtualisierungsprodukt von Microsoft, mit dem Benutzer virtuelle Maschinen (VMs) auf Windows Server und Windows 10/11 erstellen und ausführen können. Das Produkt ermöglicht eine bessere Hardware-Auslastung und Ressourcenverwaltung.
Ein Angreifer muss eine Race-Condition gewinnen, um die Schwachstelle auszunutzen. Der „Use After Free“-Fehler in Windows Hyper-V könnte es einem authentifizierten Angreifer ermöglichen, Remote-Code-Ausführung zu erreichen.
CVE-2025-27745, CVE-2025-27748 und CVE-2025-27749: Microsoft Office-Schwachstelle für die Ausführung von Remote-Code
Die „Use After Free“-Schwachstelle in Microsoft Office könnte es einem nicht authentifizierten Angreifer ermöglichen, Remote-Code auszuführen.
CVE-2025-27480: Windows-Remotedesktopdienste-Schwachstelle für die Ausführung von Remote-Code
Die „Use After Free“-Schwachstelle im Remote Desktop Gateway Service könnte es einem nicht authentifizierten Angreifer ermöglichen, Code aus der Ferne auszuführen. Ein Angreifer könnte diese Schwachstelle erfolgreich ausnutzen, indem er sich mit einem System mit der Rolle „Remote Desktop Gateway“ verbindet, die Race-Condition auslöst, um ein „Use After Free“-Szenario zu erstellen, und dann beliebigen Code ausführt.
CVE-2025-27482: Windows Remote Desktop Services-Schwachstelle für die Ausführung von Remote-Code
Im Remote Desktop Gateway Service kann die Speicherung sensibler Daten in nicht ordnungsgemäß gesperrtem Speicher es einem nicht authentifizierten Angreifer ermöglichen, Remote-Code auszuführen.
CVE-2025-26663 und CVE-2025-26670: Windows Lightweight Directory Access Protocol (LDAP) Client Remote Code Execution Vulnerability
Ein LDAP-Client ist eine Softwareanwendung oder ein Tool, das das Lightweight Directory Access Protocol (LDAP) verwendet, um mit einem Verzeichnisdienst zu interagieren, und so Aufgaben wie das Suchen, Abrufen und Verwalten von Informationen ermöglicht, die in einer hierarchischen Struktur gespeichert sind.
Der „Use After Free“-Fehler im Lightweight Directory Access Protocol könnte es einem nicht authentifizierten Angreifer ermöglichen, Remotecode auszuführen. Ein nicht authentifizierter Angreifer kann die Schwachstellen ausnutzen, indem er speziell gestaltete Anfragen an einen anfälligen LDAP-Server sendet.