Schwerwiegende LDAP-Lücke gefährdet Windows-Systeme
Verfasst: Donnerstag 13. Februar 2025, 16:03
Angreifer können die Lücke ausnutzen, um aus der Ferne und ohne jegliche Nutzerinteraktion auf Windows-Systemen Schadcode auszuführen.
Microsoft hat zum Februar-Patchday wieder allerhand Sicherheitslücken in seinen Produkten geschlossen. Darunter befindet sich auch eine schwerwiegende Lücke im LDAP (Lightweight Directory Access Protocol), die neben den Desktop-Betriebssystemen Windows 10 und Windows 11 auch alle gängigen Windows-Server-Versionen betrifft. Sie ermöglicht es Angreifern, aus der Ferne Schadcode auszuführen.
Die LDAP-Lücke ist als CVE-2025-21376 registriert und erreicht mit einem CVSS-Wert von 8,1 einen hohen Schweregrad. Dass kein höherer CVSS erreicht wird, liegt vor allem an der als hoch eingestuften Angriffskomplexität, die Microsoft damit begründet, dass ein Angreifer für eine erfolgreiche Ausnutzung eine Race-Condition gewinnen muss.
Dennoch ist die Schwachstelle nicht zu unterschätzen. Fälle einer aktiven Ausnutzung sind laut Microsoft zwar nicht bekannt, jedoch hält der Konzern ein Aufkommen entsprechender Angriffe für wahrscheinlich.
Pufferüberlauf mit Wurm-Potenzial
Wie Microsoft im Security Advisory zu CVE-2025-21376 weiter ausführt, kann ein Angreifer durch die Schwachstelle einen Pufferüberlauf (CWE-122) auslösen und damit zur Schadcodeausführung gelangen, indem er eine speziell gestaltete Anfrage an das Zielsystem übermittelt. Der Angriff kann über das Netzwerk aus der Ferne ausgeführt werden und erfordert vom Angreifer vorab keinerlei Authentifizierung.
Was die Lücke ebenfalls gefährlich macht, ist der Umstand, dass auf dem Zielsystem nicht einmal eine Nutzerinteraktion erforderlich ist. Dustin Childs von Trend Micros Zero Day Initiative (ZDI) geht daher davon aus, dass die Schwachstelle "wormable" ist.
Sie könnte sich also eignen, um Schadcode von einem infiltrierten System automatisiert auf weitere anfällige Systeme zu übertragen, wie es von Computerwürmern bekannt ist. Auf diesem Wege lassen sich innerhalb kürzester Zeit unzählige miteinander vernetzte Rechner kompromittieren.
Microsoft hat am 11. Februar Patches für alle betroffenen Windows-Versionen bereitgestellt. Neben Windows 10 und 11 gehören dazu auch Windows Server 2008 (R2), 2012 (R2), 2016, 2019, 2022 und 2025. Administratoren wird empfohlen, die jüngsten Sicherheitsupdates möglichst zeitnah zu verteilen.
Microsoft hat zum Februar-Patchday wieder allerhand Sicherheitslücken in seinen Produkten geschlossen. Darunter befindet sich auch eine schwerwiegende Lücke im LDAP (Lightweight Directory Access Protocol), die neben den Desktop-Betriebssystemen Windows 10 und Windows 11 auch alle gängigen Windows-Server-Versionen betrifft. Sie ermöglicht es Angreifern, aus der Ferne Schadcode auszuführen.
Die LDAP-Lücke ist als CVE-2025-21376 registriert und erreicht mit einem CVSS-Wert von 8,1 einen hohen Schweregrad. Dass kein höherer CVSS erreicht wird, liegt vor allem an der als hoch eingestuften Angriffskomplexität, die Microsoft damit begründet, dass ein Angreifer für eine erfolgreiche Ausnutzung eine Race-Condition gewinnen muss.
Dennoch ist die Schwachstelle nicht zu unterschätzen. Fälle einer aktiven Ausnutzung sind laut Microsoft zwar nicht bekannt, jedoch hält der Konzern ein Aufkommen entsprechender Angriffe für wahrscheinlich.
Pufferüberlauf mit Wurm-Potenzial
Wie Microsoft im Security Advisory zu CVE-2025-21376 weiter ausführt, kann ein Angreifer durch die Schwachstelle einen Pufferüberlauf (CWE-122) auslösen und damit zur Schadcodeausführung gelangen, indem er eine speziell gestaltete Anfrage an das Zielsystem übermittelt. Der Angriff kann über das Netzwerk aus der Ferne ausgeführt werden und erfordert vom Angreifer vorab keinerlei Authentifizierung.
Was die Lücke ebenfalls gefährlich macht, ist der Umstand, dass auf dem Zielsystem nicht einmal eine Nutzerinteraktion erforderlich ist. Dustin Childs von Trend Micros Zero Day Initiative (ZDI) geht daher davon aus, dass die Schwachstelle "wormable" ist.
Sie könnte sich also eignen, um Schadcode von einem infiltrierten System automatisiert auf weitere anfällige Systeme zu übertragen, wie es von Computerwürmern bekannt ist. Auf diesem Wege lassen sich innerhalb kürzester Zeit unzählige miteinander vernetzte Rechner kompromittieren.
Microsoft hat am 11. Februar Patches für alle betroffenen Windows-Versionen bereitgestellt. Neben Windows 10 und 11 gehören dazu auch Windows Server 2008 (R2), 2012 (R2), 2016, 2019, 2022 und 2025. Administratoren wird empfohlen, die jüngsten Sicherheitsupdates möglichst zeitnah zu verteilen.