< Zurück
Blog

ION-Hinweis: Microsoft Januar 2025 Patch Tuesday

Die Microsoft Das Patch Tuesday Update vom Januar 2025 enthält 209 Sicherheitslücken in Microsoft-Produkten, von denen 12 als kritisch eingestuft sind und 3 bereits ausgenutzt werden.

Aktive Ausbeutung

Die folgenden kritischen Schwachstellen werden bereits aktiv ausgenutzt.

  • CVE-2025-21333 & CVE-2025-21334 CVE-2025-21335 - Windows Hyper-V NT Kernel-Integration VSP Schwachstellen bei der Erhöhung von Privilegien - Ein Angreifer, der diese Schwachstellen erfolgreich ausnutzt, könnte SYSTEM-Rechte erlangen.

Kritische Schwachstellen

Von den folgenden kritischen Schwachstellen ist bisher nicht bekannt, dass sie aktiv ausgenutzt werden oder öffentlich bekannt sind.

  • CVE-2025-21311 - Windows NTLM V1 Sicherheitslücke bei Erhöhung der Berechtigung - Diese Schwachstelle lässt sich aus der Ferne ausnutzen und kann über das Internet ausgenutzt werden. Die Angriffskomplexität ist gering; ein Angreifer benötigt keine nennenswerten Vorkenntnisse über das System und kann mit der Nutzlast gegen die anfällige Komponente wiederholbare Erfolge erzielen. Microsoft verweist auf Netzwerksicherheit: LAN Manager-Authentifizierungsstufe für weitere Informationen zur Schadensbegrenzung.
  • CVE-2025-21298 - Windows OLE-Remotecodeausführungsschwachstelle - Ein Angreifer könnte die Sicherheitslücke ausnutzen, indem er eine speziell gestaltete E-Mail an das Opfer mit einer betroffenen Version von Ausblick.
  • CVE-2025-21297 & CVE-2025-21309 Windows Remotedesktopdienste - Sicherheitslücken bei der Remotecodeausführung - Ein Angreifer könnte diese Schwachstelle eines Systems mit der Rolle Remote Desktop Gateway aus der Ferne ausnutzen.
  • CVE-2025-21296 - BranchCache-Schwachstelle für entfernte Code-Ausführung - Dieser Angriff ist auf Systeme beschränkt, die mit dem gleichen Netzwerksegment wie der Angreifer verbunden sind.
  • CVE-2025-21294 - Microsoft Digest-Authentifizierungs-Remotecode-Ausführungsschwachstelle - Ein Angreifer könnte diese Schwachstelle erfolgreich ausnutzen, indem er sich mit einem System verbindet, das eine Digest-Authentifizierung erfordert.
  • CVE-2025-21307 - Windows Reliable Multicast Transport Driver (RMCAST) Sicherheitslücke bei der Remotecodeausführung - Ein nicht authentifizierter Angreifer könnte die Schwachstelle ausnutzen, indem er speziell gestaltete Pakete an einen Windows Pragmatischer Allgemeiner Multicast (PGM) ohne jegliche Interaktion seitens des Nutzers.
  • CVE-2025-21295 - SPNEGO Extended Negotiation (NEGOEX) Sicherheitsmechanismus - Sicherheitslücke bei der Remotecodeausführung - Entfernte Codeausführung ohne Benutzerinteraktion.
  • CVE-2025-21380 - Azure Marketplace SaaS-Ressourcen Sicherheitslücke bei der Offenlegung von Informationen - Diese Sicherheitslücke wurde von Microsoft bereits vollständig entschärft.
  • CVE-2025-21385 - Microsoft Purview - Sicherheitslücke bei der Offenlegung von Informationen - Diese Sicherheitslücke wurde von Microsoft bereits vollständig entschärft.

Öffentlich bekannt gegebene Schwachstellen

Die folgenden Schwachstellen wurden öffentlich bekannt gegeben, sind aber Es ist noch nicht bekannt, dass sie aktiv ausgenutzt werden.

  • CVE-2025-21186 & CVE-2025-21366 & CVE-2025-21395 - Sicherheitslücken in Microsoft Access bei der Ausführung von beliebigem Code - ACE-Schwachstellen (Arbitrary Code Execution), das Update blockiert bösartige Dateien mit Access-Dateierweiterungen, die per E-Mail versendet werden (accdb, accde, accdw, accdt, accda, accdr, accdu)
  • CVE-2025-21275 - Sicherheitslücke bei der Installation von Windows-App-Paketen (Erhöhung der Berechtigung) - Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, könnte SYSTEM-Rechte erlangen.
  • CVE-2025-21308 - Windows Themes Spoofing-Schwachstelle - Microsoft empfiehlt, den ausgehenden NTLM-Verkehr zu Remote-Servern einzuschränken (beste Praxis für Systeme mit NTLM): So aktivieren Sie die Richtlinie: Wählen Sie Computer-Konfiguration > Windows-Einstellungen > ** Sicherheitseinstellungen** > Lokale Politiken > Sicherheitsoptionen. Doppelklicken Sie im rechten Fensterbereich auf die Richtlinie Netzwerksicherheit: NTLM einschränken: Ausgehender NTLM-Verkehr zu Remote-Servern gemäß den unten aufgeführten Optionen in der Richtlinie Netzwerksicherheit: NTLM einschränken: Ausgehender NTLM-Datenverkehr zu entfernten Servern Dokumentation.

Gegenmaßnahmen und Patches

  • Bringen Sie Patches so schnell wie möglich nach entsprechenden Tests an.

Referenzen

Sans Report: Microsoft Januar 2025 Patch Tuesday - SANS Internet Storm Center

Patch-A-Palooza: PatchaPalooza

Teilen

Artikel von

Team für fortgeschrittene Bedrohungsabwehr

Ontinue – ATO

Das Advanced Threat Operations (ATO)-Team von Ontinue nutzt proaktive Methoden zur Identifizierung, Analyse und Abwehr von Bedrohungen, um unseren Kunden die nötige Widerstandsfähigkeit zu verleihen, mit der sie der sich ständig weiterentwickelnden Bedrohungslandschaft begegnen können.

Teammitglied Balazs Greksza Bild

Balazs Greksza
Teammitglied Domenico de Vitto Bild

Domenico de Vitto
Teammitglied Rhys Downing Bild

Rhys Downing
Team-Mitglied Manupriya Sharma Bild

Manupriya Sharma
Schlüsselwörter

Verwandte Artikel

Podcast-Cover mit einem Mikrofon-Symbol auf einem violetten Hintergrund mit Farbverlauf. Der Text lautet 'Microsoft Security Tips' und 'Defend Your Time Podcast'.
Blog
CISO-Erkenntnisse aus dem ATO-Bedrohungsbericht für das erste Halbjahr 2024

Jetzt anhören >
Podcast-Cover mit einem Mikrofon-Symbol auf einem violetten Hintergrund mit Farbverlauf. Der Text lautet 'Microsoft Security Tips' und 'Defend Your Time Podcast'.
Blog
Verteidigen Sie Ihre Zeit: Bekämpfung des Infostealers LummaC2

Weiterlesen >
Ein Cover-Design für den "1H 2024 Threat Intelligence Report" von Ontinue mit einem dunklen abstrakten Hintergrund und farbenfrohen digitalen Mustern.
E-Book
Bericht zur Bedrohungslage im ersten Halbjahr 2024

Weiterlesen >
Eine Person, von hinten gesehen, mit Kopfhörern, an einem Schreibtisch sitzend, vor mehreren Computerbildschirmen, auf denen Daten und Grafiken angezeigt werden, mit dem Text "ION Threat Advisory" (ION-Bedrohungswarnung) in weißer Schrift deutlich sichtbar.
Blog
ION-Hinweis: Microsoft Dezember 2024 Patch Tuesday

Weiterlesen >
Eine Person, die mit einer digitalen Anzeige interagiert, die verschiedene Prozentzahlen anzeigt, darunter "78.2%". Der Hintergrund ist unscharf, wodurch die Hände auf dem Bildschirm hervorgehoben werden. Dieses Bild bezieht sich auf die Visualisierung und Analyse von Daten.
Blog
Die wichtigsten Erkenntnisse aus dem Threat Intelligence Report 1H 2024 von Ontinue

Weiterlesen >