Thought Leadership
Microsoft hat das Jahr 2025 mit einem umfangreichen Sicherheitsupdate begonnen. Insgesamt wurden 161 Schwachstellen in der Software des Unternehmens behoben, darunter drei Zero-Day-Lücken, die aktiv ausgenutzt wurden.
Rekordzahl an behobenen Schwachstellen
Von den 161 Sicherheitslücken wurden 11 als kritisch und 149 als wichtig eingestuft. Eine weitere Schwachstelle, ein Secure-Boot-Bypass (CVE-2024-7344), wurde nicht bewertet. Die Zero Day Initiative hebt hervor, dass dies die größte Anzahl an CVEs ist, die Microsoft in einem Monat seit mindestens 2017 adressiert hat.
Zusätzlich zu diesen Patches hat Microsoft auch sieben Schwachstellen in seinem Chromium-basierten Edge-Browser behoben, die nach den Dezember-Updates 2024 entdeckt wurden.
Hyper-V: Drei Zero-Day-Lücken im Visier
Im Zentrum des Updates stehen drei Sicherheitslücken in Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334 und CVE-2025-21335). Diese wurden aktiv ausgenutzt, wie Microsoft bestätigt. Die Schwachstellen ermöglichen es Angreifern, SYSTEM-Rechte zu erlangen.
„Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte SYSTEM-Berechtigungen erlangen“, so Microsoft in einer Mitteilung.
Kritische Schwachstellen auch bei anderen Microsoft-Produkten
Neben den Zero-Days hat Microsoft fünf weitere kritische Sicherheitslücken geschlossen:
- CVE-2025-21294: Microsoft Digest Authentication RCE (CVSS 8.1)
- CVE-2025-21295: SPNEGO NEGOEX Security Mechanism RCE (CVSS 8.1)
- CVE-2025-21298: Windows OLE RCE (CVSS 9.8)
- CVE-2025-21307: RMCAST Driver RCE (CVSS 9.8)
- CVE-2025-21311: Windows NTLM V1 Elevation of Privilege (CVSS 9.8)
Insbesondere CVE-2025-21298 stellt eine erhebliche Gefahr dar, da die Schwachstelle über speziell präparierte E-Mails ausgenutzt werden kann. „In einem E-Mail-Angriffszenario könnte ein Angreifer die Schwachstelle durch den Versand einer speziell gestalteten E-Mail an das Opfer ausnutzen“, erklärte Microsoft.
