Angreifer können an mehrere Sicherheitslücken in unter anderem Azure, Defender, Hyper-V, Office, Windows und einem Xbox-Service ansetzen. Im schlimmsten Fall kann Schadcode auf Computer gelangen und Systeme vollständig kompromittieren. Eine Windows-Schwachstelle ist öffentlich bekannt und es können Attacken bevorstehen. Bislang gibt es aber noch keine Berichte zu Angriffen.

Sicherheitslücken geschlossen

Die bekannte Lücke (CVE-2025-55234 „hoch„) betrifft die SMB-Komponente von Windows. Daran können Angreifer für eine Relay-Attacke ansetzen. Dabei fangen Angreifer oft Anmeldedaten ab. In diesem Fall können sich Angreifer Microsoft zufolge höhere Nutzerrechte verschaffen. Davon sind unter anderem Windows 10, 11 und verschiedene Windows-Server-Versionen bedroht. Neben der Installation des Sicherheitsupdates empfiehlt Microsoft, Funktionen wie SMB Server signing gegen Relay-Attacken zu aktivieren.

Am gefährlichsten gilt eine Schwachstelle (CVE-2025-55232 „kritisch„) in Microsofts Computercluster-Verwaltung High Performance Computer (HPC). Nutzen Angreifer die Lücke erfolgreich aus, können sie über ein Netzwerk Schadcode ausführen.

Microsoft stuft noch weitere Lücken als „kritisch“ ein. Darunter unter anderem welche in Hyper-V (CVE-2025-55224 „hoch„), Windows Graphics Component (CVE-2025-55228 „hoch„) und Windows NTLM (CVE-2025-54918 „hoch„). In diesen Fällen können sich Angreifer primär höhere Nutzerrechte verschaffen. Über eine Office-Lücke (CVE-2025-54910 „hoch“) kann Schadcode auf Systeme gelangen.

Eine Lücke (CVE-2025-55245 „hoch„) betrifft die App Xbox Gaming Services. Hier können Angreifer nach erfolgreichen Attacken Dateien auf einem System löschen.

Weiterführende Informationen zu den Sicherheitslücken und Patches führt Microsoft im Security Update Guide auf.

(des)

Es bleibt spannend in der IT-Sicherheitswelt – und abwechslungsreich, wie Sylvester und Christopher feststellen. Erneut haben sie so viele Themen auf dem Zettel, dass unmöglich alle in eine Folge passen. In der vierzigsten Ausgabe von „Passwort“ sprechen sie nicht nur wie üblich ausgiebig über verschiedene Aspekte der WebPKI, sondern schauen sich auch zwei interessante Sicherheitsfehler im Detail an.

Feedback und Ergänzungen zu vergangenen Folgen kommen zu verschiedenen Themen: Angesichts der schlampig gestalteten und sicherheitstechnisch sehr fragwürdigen Marketing-Mail einer großen CA rauft sich Sylvester am Mikrofon das Haupthaar und bittet die Hörer um Mithilfe: Wer E-Mails von Dienstleistern, Online-Shops oder digitalen Plattformen erhalten hat, die von Phishing nicht zu unterscheiden sind, melde sich gern mit Beweisfoto per E-Mail. Sylvester sammelt für einen Vortrag im Spätherbst und möchte möglichst viele gruselige Beispiele sammeln.

Viel Web und viel PKI

In einem Gutteil der Folge geht es ums Web und die zugehörige PKI: So ergänzen die Podcaster Informationen und Diskussionen um Let’s Encrypt und Certificate Transparency und führen erstmals ein kleines Theaterstück auf. Christopher (in seiner Rolle als Microsoft-CA) und Sylvester (das Chrome-Root-Programm verkörpernd) interpretieren einen Disput zwischen den beiden Akteuren, den diese coram publico ausgetragen hatten. Grund des Streits: Microsofts Zögern, über 70 Millionen TLS-Zertifikate wegen eines Schreibfehlers in den Zertifikatsrichtlinien zurückzuziehen.

Nur durch massiven Druck der Konkurrenz aus Mountain View hatte Microsoft sich überzeugen lassen, das für alle Zertifizierungsstellen geltende Regelwerk einzuhalten. Zwar hatte Microsoft erst in der vergangenen Folge reichlich Kritik der Hosts abbekommen, aber auch dem Vorgehen des Softwareriesen im aktuellen Fall können sie wenig Positives abgewinnen. Denn Microsofts merkliche Unlust rührte offenbar auch daher, dass die CA mit den Widerrufen technisch überfordert war – ein böses Omen.

Gewiss, eine derart gewaltige Zertifikatszahl zurückrufen und teilweise neu ausstellen zu müssen, ist kein Pappenstiel. Doch „pacta sunt servanda“, musste auch Microsoft einsehen und widerruft nun so schnell langsam, wie es ihr aktuelles Set-up erlaubt. In Zukunft soll das besser werden, nicht nur bei Microsoft, denn wer im Fall eines eher unbedeutenden Dokumentationsfehlers nicht widerrufen kann, kann es auch bei einer massiven Sicherheitslücke nicht. Jetzt muss jede CA bis zum 1. Dezember 2025 einen Plan für Fälle von „Mass Revocation“, also massenhaftem Zertifikatswiderruf, erarbeiten und veröffentlichen. So profitiert immerhin das gesamte Ökosystem von dem Vorfall.

Auch die „MadeYouReset“-Lücke greift das Web an, allerdings nicht seine Verschlüsselung, sondern seine Leistungsfähigkeit. Israelische Forscher haben eine Lücke in der Zustandsmaschine des Protokolls HTTP/2 gefunden und können diese unter bestimmten Bedingungen für einen „Denial of Service“-Angriff nutzen. Doch das Internet wird deswegen nicht abbrennen, beruhigt Christopher: Viele populäre Webserver sind offenbar gar nicht von „MadeYouReset“ betroffen. Interessant ist MadeYouReset dennoch.

Schwatzhafte Coredumps

Einen Fehler im „Coredump“-Handler von systemd erläutert Sylvester ausführlich. An CVE-2025-4398 interessiert die beiden Hosts besonders, wie verschiedene Forscher den zunächst als schwer ausnutzbar geltenden Fehler doch zuverlässig reproduzieren konnten und darüber recht zuverlässig an geschützte Informationen aus dem Speicher von Linuxprozessen gelangten. Denn die plauderte systemd-coredump aus, wenn der Angreifer den Handler mit geschickter Prozessmanipulation aufs Glatteis führte. Und je leichter eine Lücke auszunutzen ist, desto gefährlicher wird sie – daher stieg der CVSS-Wert von 4,7 auf 7,1.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(cku)

Im Fall des bekanntesten politischen Häftlings Ägyptens gibt es nach Jahren erstmals wieder Hoffnung, dass er freigelassen wird. Wie die Nachrichtenagentur Reuters am Mittwoch berichtet, hat der ägyptische Machthaber al-Sisi die Behörden am Dienstag angewiesen, die Begnadigung des Aktivisten und Bloggers Alaa Abd el-Fattah zu prüfen. Das gehe auf ein Appell des ägyptischen Nationalrats für Menschenrechte zurück, in der el-Fattahs Name neben sieben anderen Gefangenen genannt werde, berichtet die Nachrichtenagentur. Der Nationalrat ist eine Institution des ägyptischen Regimes.

Tarek al-Awady, Mitglied des ägyptischen Präsidialbegnadigungskomitees, erklärte gegenüber Reuters, dass die Entscheidung über die Freilassung des Gefangenen voraussichtlich innerhalb „weniger Tage“ getroffen werde.

Der 1981 geborene el-Fattah befindet sich nach Angaben seiner Mutter Laila Soueif seit dem 1. September in einem Hungerstreik, um gegen seine Inhaftierung zu protestieren. Die Familie des Aktivisten, der auch einen britischen Pass besitzt, setzt sich seit Jahren für seine Freilassung ein. Sie hatte dabei zuletzt auch die Unterstützung der britischen Regierung erhalten. Eine Arbeitsgruppe der Vereinten Nationen hatte die Haft von el-Fattah als rechtswidrig und willkürlich eingestuft.

„Das ist wirklich vielversprechend. Wir hoffen, dass die Behörden dies dringend umsetzen und dass Alaa bald zu uns zurückkehren kann“, sagte seine Schwester Sanaa laut Reuters auf X.

Prominentes Gesicht der demokratischen Revolte

El-Fattah war eine der zentralen Figuren und prominenten Gesichter des Arabischen Frühlings in Ägypten. Seit nunmehr fast 20 Jahren ist el-Fattah immer wieder im Fokus der ägyptischen Repression. Schon vor der arabischen Revolution war er im Jahr 2006 für zwei Monate verhaftet worden. Nach dem arabischen Frühling 2011 saß er ab 2015 für mehr als vier Jahre im Gefängnis, weil ihm vorgeworfen wurde, politische Proteste organisiert zu haben.

Im September 2019 wurde el-Fattah erneut festgenommen, vermutlich weil er den Tweet eines politischen Gefangenen teilte. Ein ägyptisches Staatssicherheitsgericht hat ihn im Dezember 2021 zu einer Gefängnisstrafe von fünf Jahren wegen angeblicher Verbreitung von Falschnachrichten verurteilt. Während seiner Haft trat er zuletzt im Jahr 2022 in Hungerstreik, um konsularischen Zugang zur britischen Botschaft zu erhalten.

Am 29. September 2024 hätte Alaa Abd el-Fattah eigentlich wieder auf freiem Fuß sein sollen. Dann wäre eigentlich die fünfjährige Haftstrafe abgelaufen. Doch die ägyptische Justiz weigert sich – entgegen der eigenen Strafprozessordnung – ihn aus dem Gefängnis zu entlassen, indem sie die zweijährige Untersuchungshaft nicht anrechnete.