Microsoft hat kürzlich eine umfangreiche Sicherheitsaktualisierung veröffentlicht, die insgesamt 67 Schwachstellen behebt. Darunter befindet sich auch eine Kritische Sicherheitslücke CVE-2025-33053 im WebDistributed Authoring and Versioning (WEBDAV)-Dienst, die bereits aktiv von Angreifern ausgenutzt wird. In diesem Beitrag erläutern wir die wichtigsten Details zu den Schwachstellen, deren Auswirkungen und wie Unternehmen effektiv darauf reagieren können.
Überblick über die Sicherheitslücken im aktuellen Microsoft-Patch
Die 67 kritischen und wichtigen Sicherheitslücken umfassen eine Vielzahl an Schwachstellen, die verschiedene Angriffsmöglichkeiten bieten:
- 11 als Kritisch eingestufte Schwachstellen
- 56 als Wichtig kategorisierte Fehler
- 26 Remote Code Execution (RCE)-Fehler
- 17 Informationenleck-Schwachstellen (Information Disclosure)
- 14 Privilegienerhöhungen (Privilege Escalation)
Diese Fehler betreffen unter anderem bekannte Komponenten und Dienste wie WEBDAV, Power Automate, Common Log File System Driver (CLFS), Windows Netlogon, Windows SMB Client und den Windows Key Distribution Center (KDC) Proxy Service.
Die Besonderheit: Das Update ergänzt bereits erfolgte Sicherheitsmaßnahmen, die Microsoft in seinem Chromium-basierten Edge-Browser implementiert hat.
Kritische Sicherheitslücke CVE-2025-33053 in WEBDAV
Besondere Aufmerksamkeit verdient die kritische Sicherheitslücke CVE-2025-33053 in WEBDAV. Diese ermöglicht eine Remote Code Execution und wurde bereits aktiv ausgenutzt. Der Common Vulnerability Scoring System (CVSS)-Wert liegt bei 8,8, was die hohe Gefährdungslage verdeutlicht.
Was ist WEBDAV und warum ist diese Schwachstelle so kritisch?
WEBDAV ist ein Netzwerkprotokoll, das hauptsächlich für die gemeinsame Dateibearbeitung und das Teilen von Dateien in Unternehmensnetzwerken verwendet wird. Es ist bei vielen Firmen für Remote-Zugriffe aktiviert, was dessen Angriffsrisiko erhöht.
Die Schwachstelle in WEBDAV kann durch das Ködern eines Benutzers zum Anklicken einer speziell präparierten URL ausgenutzt werden, sodass Angreifer Schadcode ausführen und Zugriff auf kritische Systemfunktionen erhalten.
Wer hat die Lücke gemeldet?
Microsoft hat die Sicherheitslücke den Forschern Alexandra Gofman und David Driker vom Sicherheitsunternehmen Check Point zu verdanken. CVE-2025-33053 ist nach Angaben von Microsoft das erste bekannt gewordene Zero-Day-Problem in der WEBDAV-Implementierung.
Praktische Angriffe durch den Hackergruppe Stealth Falcon (alias FruityArmor)
Laut Check Point geht die aktive Ausnutzung dieser Schwachstelle auf die Hackergruppe Stealth Falcon, auch bekannt als FruityArmor, zurück. Diese Gruppe ist für gezielte Cyber-Spionage bekannt und hat bereits in der Vergangenheit Windows Zero-Day-Lücken genutzt.
Im beobachteten Angriffsszenario wurde die Schwachstelle bei einem unbekannten Verteidigungsunternehmen in der Türkei verwendet. Der Einfallspunkt war eine Phishing-E-Mail mit einer als Archivdatei getarnten URL-Verknüpfung (.url). Diese leitete einen legitimen Windows-Diagnosedienst namens iediagcmd.exe ein, der wiederum einen Loader mit dem Namen HorusLoader startete. HorusLoader diente dazu, ein decoy PDF zu zeigen und anschließend die Malware Horus Agent zu laden.
Weitere kritische Sicherheitslücken und ihre Bedrohungen
Neben der WEBDAV-Schwachstelle hat Microsoft weitere gefährliche Sicherheitsprobleme adressiert:
- Power Automate Privilegienerhöhung (CVE-2025-32826, CVSS 9.8)
Ermöglicht es Angreifern, höhere Rechte innerhalb eines Netzwerks zu erlangen. Microsoft weist jedoch darauf hin, dass aktuell keine Maßnahmen von Seiten der Kunden erforderlich sind. - Common Log File System Driver Schwachstelle (CVE-2025-33771, CVSS 7.8)
Ein Speicherüberlauf, der oft bei Ransomware-Angriffen ausgenutzt wird, um höhere Rechte zu erlangen. - Windows Netlogon (CVE-2025-33044, CVSS 8.1) und Windows SMB Client (CVE-2025-33045, CVSS 8.8)
Schwachstellen, die ebenfalls zur Eskalation von Rechten oder zur Ausführung von Schadcode führen können. - Windows KDC Proxy Service (CVE-2025-33071, CVSS 8.1)
Ermöglicht eine unauthentifizierte Remote Code Execution. Besonders kritisch ist, dass ein KDC Proxy für Kerberos-Anfragen oft in ungeschützten Netzwerken ausgesetzt ist.
Secure Boot-Bypass und Firmware-Sicherheitsprobleme
Microsoft hat ebenfalls Patches herausgegeben gegen eine Schwachstelle (CVE-2025-4275, CVSS 6.7), die ein Umgehen von UEFI Secure Boot ermöglicht. Hierbei handelt es sich um Firmware-Komponenten von Drittanbietern, die mit Microsoft-Zertifikaten signiert sind.
Durch eine unsichere Behandlung von NVRAM-Variablen können Angreifer beliebigen Code vor dem Start des Betriebssystems ausführen. Solche Schwachstellen sind besonders gefährlich, da sie persistente Malware ermöglichen, die kaum zu entfernen ist.
Das CERT Coordination Center warnt vor der Bedrohung durch Manipulationen in UEFI-Anwendungen wie DTBios und BiosFlashShell.
Empfehlung: Patching und Sicherheitshygiene
Angesichts der Vielzahl an kritischen Schwachstellen ist schnelles Handeln gefragt. Besonders die aktive Ausnutzung der kritischen Sicherheitslücke CVE-2025-33053 in WEBDAV erfordert zeitnahe Updates.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat die CVE-2025-33053 in ihre Liste der „Known Exploited Vulnerabilities“ (KEV) aufgenommen und fordert Regierungsbehörden zur Anwendung des Patches bis spätestens 1. Juli 2025 auf.
Unternehmen sollten:
- Alle verfügbaren Sicherheitsupdates von Microsoft schnellstmöglich installieren.
- WEBDAV-Services und Remote-Zugriffe möglichst einschränken oder besser absichern.
- Mitarbeiter für Phishing-Attacken sensibilisieren und geschulte Filter einsetzen.
- Netzwerkzugriffe überwachen und anomale Aktivitäten identifizieren.
- Backup-Strategien absichern und regelmäßig testen.
Sicherheitsupdates weiterer Hersteller
Neben Microsoft haben auch andere größere IT-Anbieter Sicherheitsupdates bereitgestellt, beispielsweise:
- VMware
- Aruba Networking
- Verschiedene Linux-Distributionen wie Ubuntu, Debian, Fedora, CentOS
- Mozilla
- Trend Micro
- Zoho ManageEngine
Diese Veröffentlichungen zeigen, dass das Thema Cybersicherheit aktuell viele Systeme betrifft und ein branchenweiter Fokus nötig ist.
Neueste Kommentare