Microsoft hat ein dringendes Sicherheitsupdate für seine Power Pages-Plattform veröffentlicht, um eine kritische Zero-Day-Schwachstelle (CVE-2025-24989) zu beheben. Die mit einem CVSS-Score von 8,2 bewertete Sicherheitslücke ermöglicht Angreifern eine nicht autorisierte Rechteausweitung und wird bereits aktiv für Cyberangriffe ausgenutzt.

Technische Analyse der Sicherheitslücke

Die identifizierte Schwachstelle basiert auf einer fehlerhaften Implementierung der Zugriffskontrollmechanismen in Microsoft Power Pages. Angreifer können durch die Ausnutzung dieser Schwachstelle Authentifizierungsprozesse umgehen und unauthorisierte Privilegien erlangen. Besonders kritisch ist die Möglichkeit der Remote-Ausführung aufgrund der Cloud-basierten Architektur der Plattform, was das Angriffspotential erheblich vergrößert.

Empfohlene Sicherheitsmaßnahmen

Microsoft hat die Schwachstelle serverseitig behoben und informiert betroffene Kunden. Systemadministratoren wird dringend empfohlen, folgende Sicherheitsüberprüfungen durchzuführen:

Essentielle Audit-Maßnahmen:

– Durchführung einer forensischen Analyse der Systemprotokolle
– Überprüfung kürzlich erstellter Benutzerkonten
– Identifikation nicht autorisierter Systemänderungen
– Revision der Benutzerrechte und Privilegien

Weitere Sicherheitsupdates von Microsoft

Parallel wurde eine schwerwiegende Schwachstelle in der Bing-Suchmaschine (CVE-2025-21355, CVSS 8,6) geschlossen, die Remote Code Execution ermöglichte. Bisher wurden keine aktiven Ausnutzungen dieser Schwachstelle beobachtet.

Diese Sicherheitsvorfälle unterstreichen die Notwendigkeit einer proaktiven Cybersecurity-Strategie. Unternehmen, die Microsoft Power Pages einsetzen, sollten umgehend ihre Systeme auf Kompromittierungen untersuchen und robuste Sicherheitsüberwachung implementieren. Die Installation verfügbarer Sicherheitsupdates und regelmäßige Sicherheitsaudits sind entscheidend für die Aufrechterhaltung einer sicheren IT-Infrastruktur.