Microsoft Juni 2025 Patch Tuesday behebt aktiv ausgenutzte Zero‑Day‑Schwachstelle, insgesamt 66 Sicherheitslücken

Am Dienstag, den 10. Juni 2025, veröffentlichte Microsoft sein Patch‑Tuesday‑Update für Juni 2025 und schloss insgesamt 66 Schwachstellen. Darunter befanden sich eine aktiv genutzte Zero‑Day‑Sicherheitslücke, neun kritische Bugs und weitere 56 Schwachstellen mittlerer bis geringer Schwere.

Verteilung nach Kategorie:

• 13 Privilegien‑Eskalationslücken
• 3 Umgehungen von Sicherheitsmechanismen (Security‑Bypass)
• 25 Remote‑Code‑Execution‑Fehler
• 17 Informations‑Offenlegungen
• 6 Denial‑of‑Service‑Lücken
• 2 Spoofing‑Schwachstellen

Microsoft Windows erhielt mit 44 die meisten Patches, gefolgt von Extended Security Updates (24) und Microsoft Office (18). Diese Zahlen schließen Mariner, Microsoft Edge und Power Automate Updates, die bereits früher im Monat erschienen, nicht ein.

Zwei Zero‑Day‑Schwachstellen im Detail:

1. Aktiv ausgenutzte Zero‑Day – CVE‑2025‑33053 (Basisbewertung: 8,2, High)
   Diese Lücke betrifft Web Distributed Authoring and Versioning (WebDAV) und ermöglicht eine Remote‑Code‑Ausführung. Angreifer können damit Dateinamen oder -pfade in WebDAV ohne Authentifizierung erlauben, sobald ein Nutzer auf eine speziell präparierte .url‑Datei klickt. Laut Check Point-Bericht wurde diese Schwachstelle in einer aktiven Kampagne der APT‑Gruppe Stealth Falcon ausgenutzt – auch gegen eine große Verteidigungsorganisation in der Türkei.
   Die Schwachstelle ist inzwischen im CISA-Katalog aktiver Exploits enthalten.
2. Öffentlich bekannte Zero‑Day – CVE‑2025‑33073 (Basisbewertung: 8,8, High)
   Dieser Fehler im Windows‑SMB‑Client ermöglicht eine Eskalation von Privilegien. Ein Angreifer kann durch ein speziell präpariertes Skript das Opfer dazu verleiten, sich via SMB an ein Backend‑System zu authentifizieren und so höhere Zugriffsrechte zu erlangen. Obwohl die Lücke bereits öffentlich bekannt ist, wurde kein Einsatz in freier Wildbahn beobachtet. Eine Zwischenlösung ist die Aktivierung des serverseitigen SMB‑Signing per Gruppenrichtlinie.

Ein Update steht zur Verfügung. Um eine vollständige Liste aller Sicherheitslücken sowie betroffener Systeme einzusehen, besuchen Sie die Release‑Notes im Microsoft Security Update Guide (Patch‑Dienstankündigung 2025‑Juni): https://msrc.microsoft.com/update-guide/releaseNote/2025-jun

FIN6-Tätergruppe gibt sich als Bewerber aus, um Geräte von Recruitern zu kompromittieren

FIN6, auch bekannt als „Skeleton Spider“, ist eine bekannte Bedrohungsakteursgruppe, die für Finanzbetrug verantwortlich gemacht wird. In ihrer neuesten Kampagne geben sie sich auf Plattformen wie LinkedIn und Indeed als Jobsuchende aus, um die Geräte von Personalvermittlern mit der Malware More Eggs zu infizieren – diese wird über gefälschte Lebensläufe und Phishing-Webseiten verteilt.

Laut einem Bericht von DomainTools führt FIN6 Social-Engineering-Kampagnen durch, die auf professionelles Vertrauen abzielen. Die Kommunikation beginnt über LinkedIn und Indeed, wobei sich FIN6 als engagierte Bewerber ausgibt. Anschließend folgen Phishing-Nachrichten, die zur Malware führen. Die versendeten Lebensläufe oder E-Mails enthalten keine anklickbaren Links – was ihnen hilft, Sicherheitsmechanismen von Organisationen zu umgehen. Die Personalverantwortlichen geben die URL manuell ein und werden auf Landingpages geleitet, die wie persönliche Bewerbungsportfolios aussehen.

Diese URLs folgen dem Schema VornameNachname.com (z. B. johnsmith[.]com) und täuschen reale Bewerber vor, inklusive Foto und Namen. Die Seiten verwenden Traffic-Filter und CAPTCHA, um sicherzustellen, dass nur echte menschliche Recruiter Zugriff erhalten. Sobald dies geschieht, wird eine bösartige ZIP-Datei ausgeliefert, die die Ausführung von Befehlen, Diebstahl von Zugangsdaten und weitere Payloads ermöglicht – oft im Speicher, um der Erkennung zu entgehen.

Über 80.000 Roundcube-Instanzen durch aktiv ausgenutzte Schwachstelle CVE-2025-49113 gefährdet

Bedrohungsakteure haben eine kritische Schwachstelle zur Remote-Code-Ausführung (RCE) in Roundcube ausgenutzt, die unter CVE-2025-49113 geführt wird und mit einem CVSS-Score von 9,9 als kritisch eingestuft ist – nur wenige Tage nach Veröffentlichung des Patches. Ziel waren über 80.000 Server.

Die Schwachstelle beruht auf einer fehlerhaften Validierung des Parameters $_GET['_from'] in der Bild-Upload-Funktion zur Verwaltung von Absenderidentitäten in Roundcube. Dieser Fehler war über ein Jahrzehnt unentdeckt geblieben. Angreifer können die Lücke nutzen, um betroffene Systeme vollständig zu übernehmen und schädlichen Code auszuführen – mit erheblichen Risiken für Nutzer und Organisationen.

Die NIST-Warnmeldung beschreibt das Problem wie folgt:
„Roundcube Webmail vor Version 1.5.10 sowie 1.6.x vor 1.6.11 ermöglicht Remote Code Execution für authentifizierte Nutzer, da der Parameter _from in der URL nicht in program/actions/settings/upload.php geprüft wird, was zur PHP Object Deserialization führt.“

Die Schwachstelle wurde in den Versionen 1.6.11 und 1.5.10 LTS behoben. Organisationen wird dringend empfohlen, dieses Update schnellstmöglich einzuspielen und umzusetzen. Da das Ausmaß der Angriffe bislang unklar ist, sollten Unternehmen betroffene Systeme aktiv überwachen – ebenso wie verdächtige Brute-Force-Versuche.

Kritische Fortinet-Schwachstellen werden nun aktiv von der Qilin-Ransomware-Gruppe ausgenutzt

Die Qilin-Ransomware-Gruppe, auch bekannt als „Phantom Mantis“, wurde dabei beobachtet, wie sie zwei Fortinet-Schwachstellen in FortiOS- und FortiProxy-Geräten ausnutzt, um Authentifizierungsmechanismen auf nicht gepatchten Geräten zu umgehen. Qilin wurde zuvor mit dem Angriff auf Synnovis in Großbritannien in Verbindung gebracht – ein Dienstleister für medizinische Tests und Diagnostik.

Das Threat-Intelligence-Unternehmen PRODAFT identifizierte die Ausnutzung zweier kritischer Schwachstellen durch Qilin: die Out-of-Bounds-Write-Schwachstelle CVE-2024-21762 sowie die Authentifizierungsumgehung CVE-2024-55591. Beide betreffen FortiOS- und FortiProxy-SSL-VPN-Systeme.

PRODAFT berichtet, dass sich Qilin im Zeitraum Mai bis Juni 2025 verstärkt auf Organisationen in spanischsprachigen Ländern konzentriert hat. Obwohl die Daten dies nahelegen, schätzt PRODAFT, dass die Gruppe ihre Ziele eher opportunistisch auswählt – unabhängig von Region oder Branche.

Bereits im Februar 2024 hatte Fortinet bestätigt, dass CVE-2024-21762 aktiv in freier Wildbahn ausgenutzt wurde. Trotz der Verfügbarkeit von Patches scheinen noch immer viele Fortinet-Geräte anfällig zu sein.

Festcodierte Schlüssel in Ivanti Workspace Control legen SQL-Zugangsdaten offen

Ivanti hat drei Sicherheitsupdates veröffentlicht, um schwerwiegende Schwachstellen im Zusammenhang mit festcodierten Schlüsseln zu beheben, die die Plattform Ivanti Workspace Control (IWC) betreffen. Die IWC-Plattform ermöglicht es IT-Administratoren in Unternehmen, Betriebssystem- und Anwendungseinstellungen für Windows-Nutzer zu verwalten, bereitzustellen und zu konfigurieren – mit Zugriffsregeln basierend auf Rollen und Richtlinien.

Die drei Schwachstellen werden durch einen Fehler im Umgang mit festcodierten Schlüsseln verursacht, der zu Privilegieneskalation und vollständiger Systemkompromittierung führen kann.
Die Schwachstellen – CVE-2025-5353 und CVE-2025-22455 – wurden von NIST mit einer hohen Schwere bewertet (Basiswert: 8.8 bzw. 7.2).
CVE-2025-5353 erlaubt es einem lokal authentifizierten Angreifer, gespeicherte SQL-Zugangsdaten in IWC-Versionen vor 10.19.10.0 zu entschlüsseln.
CVE-2025-22455 ermöglicht es einem lokalen authentifizierten Angreifer, gespeicherte Umgebungskennwörter zu entschlüsseln.

Am 10. Juni 2025 veröffentlichte Ivanti Patches und rät dringend zur sofortigen Aktualisierung, da eine erfolgreiche Ausnutzung zur Kompromittierung von Zugangsdaten führen kann.
Ob diese Schwachstellen bereits in gezielten Angriffen ausgenutzt werden, ist derzeit nicht bekannt.
Ivanti hat zudem angekündigt, die IWC-Plattform zum Dezember 2026 außer Betrieb zu nehmen. Künftig sollen Kunden auf den Nachfolger „User Workspace Manager“ migrieren.

Wenn Sie sich aufgrund der in diesem Bulletin beschriebenen Bedrohungen Sorgen machen oder Unterstützung dabei benötigen, geeignete Schutzmaßnahmen für Ihr Unternehmen zu identifizieren, wenden Sie sich bitte an Ihren Account Managerin – oder kontaktieren Sie uns direkt, um zu erfahren, wie Sie Ihr Unternehmen gezielt schützen können.

Das Threat Intel Roundup wurde von Integrity360 erstellt und fasst aktuelle Bedrohungsinformationen zum Zeitpunkt der Veröffentlichung zusammen. Es stellt weder eine rechtliche, beratende noch eine sonstige professionelle Empfehlung dar. Alle enthaltenen Empfehlungen sollten stets im spezifischen Kontext Ihrer Organisation geprüft werden.
Integrity360 bezieht in den von uns bereitgestellten Informationen keine politische Position. Zudem spiegeln geäußerte Meinungen nicht zwangsläufig die Sichtweise von Integrity360 wider