Sicherheitsexperten und Systemadministratoren sind in höchster Alarmbereitschaft, da Microsoft, Fortinet und Ivanti jeweils kritische Sicherheitshinweise zu aktiv ausgenutzten Zero-Day-Schwachstellen in ihren jeweiligen Produkten veröffentlicht haben. Diese Schwachstellen stellen ein erhebliches Risiko für Organisationen dar und können potenziell zu unbefugtem Zugriff, Datenschutzverletzungen und Systemkompromittierungen führen. Es wird dringend empfohlen, sofort Patches zu installieren und empfohlene Workarounds zu implementieren, um potenzielle Bedrohungen zu mindern.
Microsoft-Patches beheben aktiv ausgenutzte und öffentlich bekannt gewordene Schwachstellen
Die jüngste Patch-Tuesday-Veröffentlichung von Microsoft enthielt Korrekturen für eine besorgniserregende Anzahl von Schwachstellen, darunter fünf, die bereits aktiv in der Wildnis ausgenutzt werden, sowie zwei öffentlich bekannt gewordene Zero-Day-Schwachstellen. Die aktiv ausgenutzten Fehler stellen eine ernsthafte Bedrohung dar, da böswillige Akteure sie aktiv nutzen, um Systeme zu kompromittieren.
Aktives Ausnutzen von Schwachstellen im Detail
Die folgenden Schwachstellen wurden als aktiv ausgenutzt identifiziert:
- Microsoft DWM Core Library (CVE-2025-30400): Diese Schwachstelle in der Desktop Window Manager (DWM) Core Library könnte einem Angreifer ermöglichen, seine Privilegien auf SYSTEM-Ebene zu erhöhen. Dies bedeutet, dass ein Angreifer die vollständige Kontrolle über das betroffene System erlangen könnte.
- Windows Common Log File System (CVE-2025-32701 und CVE-2025-32706): Zwei separate Schwachstellen innerhalb des Windows Common Log File System (CLFS) könnten einem Angreifer ebenfalls ermöglichen, SYSTEM-Level-Privilegien zu erreichen. Das CLFS ist ein allgemeiner Protokollierungsdienst, der von verschiedenen Windows-Komponenten verwendet wird.
- Windows Ancillary Function Driver (CVE-2025-32709): Eine Schwachstelle im Windows Ancillary Function Driver könnte in ähnlicher Weise zu einer Erhöhung der Privilegien auf SYSTEM-Ebene führen.
- Microsoft Scripting Engine (CVE-2025-30397): In der Microsoft Scripting Engine besteht eine Memory-Corruption-Schwachstelle, die es einem Angreifer ermöglichen könnte, beliebigen Code auszuführen. Dies könnte es einem Angreifer ermöglichen, bösartige Software auf dem betroffenen System auszuführen.
Öffentlich bekannt gewordene Schwachstellen
Zusätzlich zu den aktiv ausgenutzten Schwachstellen hat Microsoft auch zwei öffentlich bekannt gewordene Zero-Day-Schwachstellen behoben:
- Microsoft Defender (CVE-2025-26685): In Microsoft Defender besteht eine Identity-Spoofing-Schwachstelle, die es einem Angreifer ermöglichen könnte, ein anderes Konto über ein benachbartes Netzwerk zu fälschen.
- Visual Studio (CVE-2025-32702): Eine Remote-Code-Execution-Schwachstelle in Visual Studio könnte es einem nicht authentifizierten Angreifer ermöglichen, Code lokal auszuführen.
Kritische Schwachstellen, die Priorisierung erfordern
Über die aktiv ausgenutzten und öffentlich bekannt gewordenen Fehler hinaus hat Microsoft auch Patches für sechs kritische Schwachstellen herausgegeben, die zwar derzeit nicht als ausgenutzt bekannt sind, aber für das Patchen priorisiert werden sollten. Diese Schwachstellen betreffen verschiedene Microsoft-Produkte, darunter:
- Microsoft Office (CVE-2025-30377 und CVE-2025-30386): In Microsoft Office wurden zwei kritische Schwachstellen identifiziert, die möglicherweise die Ausführung von Remote-Code ermöglichen.
- Microsoft Power Apps (CVE-2025-47733): In Microsoft Power Apps wurde eine kritische Schwachstelle entdeckt, die zu unbefugtem Zugriff oder zur Ausführung von Code führen könnte.
- Remote Desktop Gateway Service (CVE-2025-29967): Im Remote Desktop Gateway Service besteht eine kritische Schwachstelle, die es einem Angreifer ermöglichen könnte, das System zu kompromittieren.
- Windows Remote Desktop (CVE-2025-29966): In Windows Remote Desktop wurde eine kritische Schwachstelle gefunden, die möglicherweise zur Ausführung von Remote-Code führt.
Fortinet behebt kritische Schwachstelle in mehreren Produkten
Fortinet hat einen Sicherheitshinweis zu einer kritischen Schwachstelle veröffentlicht, die mehrere Produkte betrifft, darunter FortiVoice, FortiMail, FortiNDR, FortiRecorder und FortiCamera.
Diese Schwachstelle, ein Stack-basierter Pufferüberlauf, hat eine CVSS v4 Severity Score von 9.6 (CVSS v3.1: 9.8), was auf ihre hohe Schwere hinweist. Die Schwachstelle kann von einem nicht authentifizierten Angreifer remote ausgenutzt werden, indem HTTP-Anfragen mit einem speziell entwickelten Hash-Cookie gesendet werden. Eine erfolgreiche Ausnutzung könnte zur Ausführung von beliebigem Code führen, wodurch ein Angreifer die vollständige Kontrolle über das betroffene Gerät erlangen könnte.
Ausnutzung in FortiVoice beobachtet
Fortinet hat bestätigt, dass es eine aktive Ausnutzung dieser Schwachstelle in FortiVoice-Geräten beobachtet hat. Angreifer haben Gerätenetzwerke gescannt, Systemabsturzprotokolle gelöscht und das FCGI-Debugging aktiviert, um Anmeldeinformationen zu erfassen, die während der System- oder SSH-Anmeldeversuche eingegeben wurden.
Betroffene Produkte und Versionen
Die Schwachstelle, die als CVE-2025-32756 verfolgt wird, betrifft die folgenden Produktversionen. Es wird dringend empfohlen, sofort auf die angegebenen korrigierten Versionen zu aktualisieren:
- FortiVoice:
- 7.2.0: Upgrade auf 7.2.1 oder höher
- 7.0.0 bis 7.0.6: Upgrade auf 7.0.7 oder höher
- 6.4.0 bis 6.4.10: Upgrade auf 6.4.11 oder höher
- FortiRecorder:
- 7.2.0 bis 7.2.3: Upgrade auf 7.2.4 oder höher
- 7.0.0 bis 7.0.5: Upgrade auf 7.0.6 oder höher
- 6.4.0 bis 6.4.5: Upgrade auf 6.4.6 oder höher
- FortiMail:
- 7.6.0 bis 7.6.2: Upgrade auf 7.6.3 oder höher
- 7.4.0 bis 7.4.4: Upgrade auf 7.4.5 oder höher
- 7.2.0 bis 7.2.7: Upgrade auf 7.2.8 oder höher
- 7.0.0 bis 7.0.8: Upgrade auf 7.0.9 oder höher
- FortiNDR:
- 7.6.0: Upgrade auf 7.6.1 oder höher
- 7.4.0 bis 7.4.7: Upgrade auf 7.4.8 oder höher
- 7.2.0 bis 7.2.4: Upgrade auf 7.2.5 oder höher
- 7.1: Migration zu einer behobenen Version
- 7.0.0 bis 7.0.6: Upgrade auf 7.0.7 oder höher
- 1.1 bis 1.5: Migration zu einer behobenen Version
- FortiCamera:
- 2.1.0 bis 2.1.3: Upgrade auf 2.1.4 oder höher
- 2.0: Migration zu einer behobenen Version
- 1.1: Migration zu einer behobenen Version
Indikatoren für eine Kompromittierung und Schritte zur Risikominderung
Fortinet hat in seiner Sicherheitswarnung Indikatoren für eine Kompromittierung (IOCs) bereitgestellt, um Organisationen bei der Erkennung potenzieller Ausnutzungsversuche zu unterstützen. Wenn ein sofortiges Patchen nicht möglich ist, empfiehlt Fortinet, die HTTP/HTTPS-Administrationsschnittstelle vorübergehend als mildernde Maßnahme zu deaktivieren.
Ivanti behebt Remote-Code-Execution-Schwachstellen in Endpoint Manager Mobile
Ivanti hat einen Sicherheitshinweis veröffentlicht, der sich mit zwei Schwachstellen befasst, die seine Endpoint Manager Mobile (EPMM)-Lösung betreffen. Diese Schwachstellen können, wenn sie zusammen verkettet werden, zu einer nicht authentifizierten Remote-Code-Ausführung führen. Ivanti hat erklärt, dass die Schwachstellen mit Open-Source-Code zusammenhängen, der in EPMM verwendet wird, und nicht mit dem Kerncode von Ivanti.
Details zu den Schwachstellen
- CVE-2025-4427 (Mittlere Schweregrad): Dies ist ein Authentifizierungs-Bypass-Fehler mit einem CVSS v3.1 Schweregrad von 5.3. Ein Angreifer könnte dies ausnutzen, um Authentifizierungsmechanismen zu umgehen und sich unbefugten Zugriff auf das System zu verschaffen.
- Remote-Code-Execution-Schwachstelle (Hohe Schweregrad): Diese Schwachstelle hat einen CVSS v3.1 Schweregrad von 7.2, was auf ein hohes potenzielles Risiko hinweist. Durch das Ausnutzen dieses Fehlers könnte ein Angreifer beliebigen Code auf dem betroffenen System remote ausführen.
Betroffene Produkte und Versionen
Die folgenden Versionen von Ivanti Endpoint Mobile Manager sind von diesen Schwachstellen betroffen. Aktualisieren Sie so schnell wie möglich auf die neuesten Versionen:
- Ivanti Endpoint Mobile Manager
- 11.12.0.4 und früher: Upgrade auf 11.12.0.5 und neuer
- 12.3.0.1 und früher: Upgrade auf 12.3.0.2 und neuer
- 12.4.0.1 und früher: Upgrade auf 12.4.0.2 und neuer
- 12.5.0.0 und früher: Upgrade auf 12.5.0.1 und neuer
Strategien zur Risikominderung
Ivanti empfiehlt Benutzern dringend, so schnell wie möglich auf die neueste Version von EPMM zu aktualisieren. Das Risiko kann jedoch erheblich reduziert werden, indem der Zugriff auf die API mithilfe der integrierten Portal-ACLs oder einer externen Web Application Firewall (WAF) gefiltert wird. Diese Maßnahmen können dazu beitragen, unbefugten Zugriff und die Ausnutzung der Schwachstellen zu verhindern.
Zusammenfassend lässt sich sagen, dass die jüngsten Sicherheitshinweise von Microsoft, Fortinet und Ivanti die allgegenwärtige Notwendigkeit für Wachsamkeit und proaktive Sicherheitsmaßnahmen unterstreichen. Organisationen müssen das Patchen und die Implementierung empfohlener Workarounds priorisieren, um sich vor diesen aktiv ausgenutzten Schwachstellen und potenziellen zukünftigen Angriffen zu schützen. Die regelmäßige Überwachung von Sicherheitshinweisen und die zeitnahe Behebung identifizierter Risiken sind wesentliche Bestandteile einer robusten Sicherheitslage. Die potenziellen Folgen eines Versäumnisses, diese Schwachstellen zu beheben, können schwerwiegend sein und von Datenschutzverletzungen und finanziellen Verlusten bis hin zu Reputationsschäden und Geschäftsunterbrechungen reichen. Die Zusammenarbeit zwischen Anbietern und der Sicherheitsgemeinschaft ist von größter Bedeutung, um diese Bedrohungen zu identifizieren und zu mindern und eine sicherere und geschütztere digitale Umgebung für alle zu gewährleisten.