Microsoft Patchday Mai 2025 – Technischer DeepDive

Am 13. Mai 2025 hat Microsoft 78 Sicherheitslücken geschlossen, darunter fünf aktiv ausgenutzte Zero-Day-Schwachstellen. Als "Zero-Day" werden Schwachstellen bezeichnet, für die zum Zeitpunkt der Entdeckung noch kein Patch existiert – und die deshalb ein besonders hohes Risiko darstellen, weil sie bereits aktiv ausgenutzt werden, bevor der Hersteller reagieren konnte.

Die Updates betreffen Windows, Office, Azure, Visual Studio und andere Produkte. Im Folgenden werden besonders relevante Schwachstellen vorgestellt – ausschließlich basierend auf verifizierten Quellen.

Ziel dieses DeepDive-Beitrags ist es, technisch interessierten Lesern, Administratoren und Sicherheitsteams eine fundierte Einordnung der einzelnen Schwachstellen zu ermöglichen. Durch die gezielte Auswahl relevanter CVEs, ihre Beschreibung und Einschätzung erhalten Leser nicht nur einen Überblick, sondern auch konkrete Anhaltspunkte, welche Patches besonders kritisch sind und wo unmittelbarer Handlungsbedarf bestehen könnte.

Besonders kritisch: Die aktiv ausgenutzten Zero-Day-Schwachstellen

CVE-2025-30397 – Remote Code Execution in Microsoft Scripting Engine

• Beschreibung: Diese Schwachstelle betrifft die Microsoft Scripting Engine und wird im Zusammenhang mit dem Internet Explorer-Modus in Microsoft Edge ausgenutzt. Angreifer können speziell präparierte Webseiten einsetzen, um beim bloßen Besuch durch den Benutzer beliebigen Code im Kontext des aktuellen Benutzerkontos auszuführen. Besonders gefährlich ist dies in Kombination mit lokalen Privilegienausweitungen, da auf diesem Weg auch administrative Berechtigungen erreicht werden können. Die Lücke wird aktiv in freier Wildbahn ausgenutzt und sollte daher umgehend durch das bereitgestellte Update behoben werden.. Angreifer können beim Besuch einer manipulierten Webseite beliebigen Code ausführen.
• CVSS-Score: 7.5 (hoch)
• Aktive Ausnutzung: Ja
• Lösung: Microsoft stellt das Sicherheitsupdate über Windows Update, WSUS und den Microsoft Update Catalog bereit. Nutzer sollten sicherstellen, dass die aktuellen Mai-Updates installiert sind.
• Patch-Details: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30397
• Quelle: BleepingComputer Patchday Mai 2025

CVE-2025-30400 – Rechteausweitung über Desktop Window Manager (DWM)

• Beschreibung: Der Fehler liegt in der Desktop Window Manager (DWM) Core Library und ermöglicht eine Rechteausweitung durch Ausnutzung eines Use-after-Free-Zustands. Angreifer, die bereits eingeschränkten Zugriff auf ein System haben, können diesen Fehler nutzen, um Systemrechte zu erlangen. Dies ist besonders relevant in VDI-, RDS- oder klassischen Terminalserver-Umgebungen, da dort häufig mehrere Benutzer gleichzeitig aktiv sind. Die Schwachstelle wurde ebenfalls bereits aktiv ausgenutzt..
• CVSS-Score: 7.8 (hoch)
• Aktive Ausnutzung: Ja
• Lösung: Das Update für CVE-2025-30400 wird über den regulären Sicherheitsrollup von Microsoft verteilt. Nach der Installation ist ein Neustart erforderlich.
• Patch-Details: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30400
• Quelle: Tenable Patchday Analyse

CVE-2025-32701 & CVE-2025-32706 – Privilege Escalation im CLFS-Treiber

• Beschreibung: Die beiden Schwachstellen CVE-2025-32701 und CVE-2025-32706
• Beschreibung: Die beiden Schwachstellen CVE-2025-32701 und CVE-2025-32706 betreffen den Common Log File System (CLFS) Treiber von Windows. Angreifer mit lokalem Zugriff auf ein System können diese Fehler ausnutzen, um ihre Rechte auf SYSTEM-Level zu erhöhen. Die CLFS-Schwachstellen sind bereits häufiger Ziel von Angriffen gewesen, da sie tief im Betriebssystem verankert und schwer durch AV-Lösungen zu detektieren sind. Microsoft empfiehlt eine unverzügliche Installation der bereitgestellten Patches.
• CVSS-Score: 7.8 (hoch)
• Aktive Ausnutzung: Ja
• Lösung: Microsoft behebt beide Schwachstellen über ein kumulatives Sicherheitsupdate. Die Installation erfolgt über Windows Update oder WSUS.
• Patch-Details: CVE-2025-32701, CVE-2025-32706
• Quelle: Tenable Patchday Analyse

CVE-2025-32709 – Privilege Escalation im afd.sys (WinSock)

• Beschreibung: CVE-2025-32709 bezieht sich auf eine Schwachstelle im Ancillary Function Driver for WinSock (afd.sys). Auch hier ist es möglich, durch gezielte Manipulationen lokale Benutzerrechte auf SYSTEM-Ebene anzuheben. Der Treiber ist essenziell für die Netzwerkkommunikation unter Windows, wodurch ein erfolgreicher Angriff weitreichende Kontrolle über das betroffene System ermöglichen kann. Die Lücke wird aktiv ausgenutzt und gilt daher als besonders kritisch..
• CVSS-Score: 7.8 (hoch)
• Aktive Ausnutzung: Ja
• Lösung: Die Schwachstelle im afd.sys-Treiber wird durch die Mai-Updates von Microsoft geschlossen. Die gepatchte Treiberversion wird nach einem Neustart aktiv.
• Patch-Details: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32709
• Quelle: Tenable Patchday Analyse

Weitere sicherheitsrelevante Schwachstellen mit hoher Priorität

CVE-2025-30386 – Remote Code Execution in Microsoft Office

• Beschreibung: Diese Schwachstelle in Microsoft Office erlaubt die Ausführung beliebigen Codes, wenn ein Benutzer ein entsprechend präpariertes Office-Dokument öffnet. Besonders gefährlich wird diese Lücke in Kombination mit Social Engineering oder unzureichend geschützten Mailgateways, über die solche Dokumente in Umlauf gebracht werden können. Auch wenn bisher keine aktive Ausnutzung dokumentiert ist, sollte die Lücke aufgrund der breiten Verbreitung von Office-Komponenten und des hohen Schweregrads unbedingt adressiert werden..
• CVSS-Score: 8.3 (hoch)
• Aktive Ausnutzung: Nein
• Lösung: Das Sicherheitsupdate für Microsoft Office wird je nach Version über Click-to-Run, WSUS oder Microsoft Update Catalog verteilt. Der Umgang mit Office-Makros sollte zusätzlich restriktiv erfolgen.
• Patch-Details: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30386
• Quelle: Cisco Talos Blog

Auswirkungen auf Unternehmensumgebungen

Die Kombination aus Schwachstellen, die entweder eine Remote Code Execution (RCE) oder eine Privilegieneskalation (LPE) ermöglichen, stellt ein hohes Risiko für jede IT-Infrastruktur dar. Besonders in komplexen oder kritischen Umgebungen – wie etwa virtualisierten Desktops, Terminalserver-Umgebungen oder hybrid angebundenen Office-Systemen – kann die Ausnutzung solcher Lücken zur vollständigen Kompromittierung führen. Angreifer kombinieren typischerweise mehrere dieser Schwachstellen, um mit minimalem Initialaufwand weitreichende Kontrolle zu erlangen.

Empfohlene Maßnahmen:

• Einführung oder Optimierung eines strukturierten Patchmanagement-Systems, um sicherzustellen, dass sicherheitskritische Updates zeitnah, dokumentiert und mit minimalem Betriebsrisiko umgesetzt werden – idealerweise automatisiert oder durch einen spezialisierten IT-Dienstleister begleitet.
• Sofortige Patches für DWM, Scripting Engine und CLFS anwenden
• Konfiguration von Makro- und Office-Schutzmechanismen prüfen
• Systemüberwachung auf verdächtige Prozesse (z. B. scriptbasierte Payloads)

Technische Begleitung durch Comp4U

Die Umsetzung von Sicherheitsupdates ist weit mehr als das bloße Einspielen von Patches. Gerade bei Zero-Day-Schwachstellen, die bereits aktiv ausgenutzt werden, ist ein strukturiertes Vorgehen gefragt: Welche Systeme sind besonders gefährdet? Welche Auswirkungen hat der Patch auf produktive Umgebungen? Gibt es Abhängigkeiten zu Drittsoftware?

Comp4U begleitet die Analyse und Einführung kritischer Updates mit fundiertem technischem Know-how und praxiserprobten Verfahren – abgestimmt auf individuelle Kundeninfrastrukturen.

Unsere Leistungen im Überblick:

• ServicePlus ActiveDesktopManagement (ADM) inkl. Patchmanagement
• Optional zusätzliches Schwachstellenmanagement bei ADM+
  
  

Sie möchten wissen, wie sich die neuen Schwachstellen konkret auf Ihre IT-Umgebung auswirken oder benötigen Unterstützung bei der sicheren Umsetzung der Mai-Updates? Unsere Experten helfen Ihnen dabei, Risiken realistisch zu bewerten und Lösungen professionell umzusetzen – ganz gleich, ob punktuell oder im Rahmen einer umfassenden Patchstrategie.

Nehmen Sie einfach Kontakt mit uns auf – wir beraten Sie gerne individuell, praxisnah und unverbindlich. Unsere Experten unterstützen Sie dabei, die richtigen Maßnahmen für Ihre Umgebung abzuleiten und sicher umzusetzen.

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
+49 6103 9707-500