Beschreibung:
Microsoft hat an seinem Juli 2025 Patchday zahlreiche Patches veröffentlicht, die insgesamt über 130 Schwachstellen in verschiedenen Versionen des Microsoft-Windows-Betriebssystems beheben. Die gefährlichste dieser Schwachstellen ist CVE-2025-47981 mit einem CVSS-Score von 9.8. Ein nicht authentifizierter Angreifer kann durch das Senden einer speziell präparierten Nachricht an den Server beliebigen Code aus der Ferne ausführen (Remote Code Execution). Die Schwachstelle basiert auf einem Heap-basierten Pufferüberlauf, für den keine Benutzerinteraktion oder spezielle Privilegien erforderlich sind. Aufgrund der Eigenschaften dieser Schwachstelle (keine Authentifizierung erforderlich, netzwerkbasierter Angriff, keine Benutzerinteraktion notwendig) besteht das Potenzial für eine wurmartige Verbreitung. Ein erfolgreicher Angriff könnte sich somit selbstständig über das Netzwerk auf andere verwundbare Systeme ausbreiten.
Die Schwachstelle CVE-2025-47981 kann nur ausgenutzt werden, wenn die Gruppenrichtlinie „Network security: Allow PKU2U authentication requests to this computer to use online identities“ aktiviert ist. Während diese Richtlinie auf Server-Systemen standardmäßig deaktiviert ist, ist sie bei Windows-Client-Systemen ab Version 10, 1607 standardmäßig aktiviert. Das macht insbesondere diese Client-Systeme besonders anfällig für einen Angriff.
Betroffene Systeme:
- Windows 10 (ab 1607)
- Windows 11 (alle Versionen)
- Windows Server 2025
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 und 2012 R2
- Windows Server 2008 R2 Service Pack 1
Behobene Versionen:
- Windows 10/11 und Server 2025: KB5062553
- Windows Server 2022: KB5062572
- Windows Server 2019: KB5062557
- Windows Server 2016: KB5062560
- Windows Server 2012 R2: KB5062597
- Windows Server 2012: KB5062592
- Windows Server 2008 R2: KB5062632 / KB5062619
Empfohlene Maßnahmen:
Wir empfehlen dringend, die von Microsoft bereitgestellten Sicherheitsupdates so schnell wie möglich zu installieren. Sollte es nicht unmittelbar möglich sein, die Sicherheitsupdates einzuspielen, kann als vorübergehende Maßnahme die Gruppenrichtlinie „Network security: Allow PKU2U authentication requests to this computer to use online identities“ deaktiviert werden. Dadurch wird das Risiko einer Ausnutzung deutlich reduziert. Bitte beachten Sie jedoch, dass durch das Deaktivieren dieser Gruppenrichtlinie die Funktionalität bestimmter Anwendungen eingeschränkt werden kann. Insbesondere können Anwendungen oder Dienste betroffen sein, die PKU2U (Peer Name Resolution Protocol) zur Authentifizierung unter Verwendung von Online-Identitäten benötigen. Daher sollte vor der Umsetzung dieser Maßnahme geprüft werden, ob unternehmensspezifische Anwendungen oder Abläufe hiervon betroffen sind. Ein Beispiel hierfür ist die Authentifizierung zwischen Entra ID joined Devices via SMB oder RDP.
Einschätzung der Bedrohung:
Zum Zeitpunkt der Veröffentlichung gibt es keine Hinweise auf eine aktive Ausnutzung der Schwachstelle. Die Veröffentlichung technischer Details erhöht jedoch das Risiko, dass zeitnah Exploits entwickelt werden.
Weiterführende Links:
https://www.security-insider.de/microsoft-patchday-juli-2025-sql-server-windows-a-573ed49a46e24cfac7b94e821dbda91b/
https://www.cert.at/de/warnungen/2025/7/kritische-sicherheitslucke-cve-2025-47981-in-windows-spnego-update-dringend-empfohlen
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47981
