Patrick PilotteEine schwerwiegende Sicherheitslücke wurde im Remote-Desktop-Client von Microsoft gefunden. Die Sicherheitslücke mit der Bezeichnung CVE-2025-48817, betrifft mehrere Windows-Versionen und birgt erhebliche Sicherheitsrisiken für Unternehmen, die auf Remote Desktop Protocol (RDP)-Verbindungen angewiesen sind.
Nachfolgend fassen wir die derzeit verfügbaren Details zusammen, einschließlich Informationen zu Patches, die am 8. Juli von Microsoft veröffentlicht wurden.
Über die Sicherheitslücke
Bei CVE-2025-48817 handelt es sich um eine relative Pfaddurchquerungsschwachstelle, die mit unberechtigten Zugriffskontrollmechanismen innerhalb der Infrastruktur des Remote-Desktop-Clients von Microsoft kombiniert wird.
Wenn Opfer mithilfe anfälliger Remote-Desktop-Client-Software eine Verbindung zu einem kompromittierten Server herstellen, können Angreifer Ordnergrenzen umgehen und eine beliebige Remote-Code-Ausführung (RCE) durchführen.
Für die Ausnutzung dieser Sicherheitslücke sind keine Berechtigungen erforderlich. Allerdings ist die Interaktion privilegierter Nutzer mit einem vom Angreifer kontrollierten Endpunkt weiterhin nötig.
Laut Microsoft gibt es keine Berichte darüber, dass diese Sicherheitslücke tatsächlich ausgenutzt wurde, und es gab auch keine Diskussionen darüber in Blogs von Anbietern von Sicherheitssoftware, Foren, sozialen Medien usw. Dies deutet darauf hin, ist aber keine Garantie dafür, dass die Bedrohungsakteure vor der öffentlichen Bekanntgabe durch Microsoft am 8. Juli nichts von der Sicherheitslücke wussten. In diesem Fall haben die betroffenen Unternehmen ein kleines Zeitfenster, bevor die Bedrohungsakteure sie bemerken und mit Angriffen beginnen.
CVSS und Schweregradbewertung
CVE-2025-48817 wurde ein CVSS-Score von 8,8 zugewiesen, was den Schweregrad als „hoch“ einstuft (beachten Sie, dass der Wert 8,8 nur 0,2 von der schwerwiegendsten Einstufung „kritisch“ entfernt ist). Sicherheitslücken mit hohem Schweregrad gelten als kritisches Risiko für System und Daten und erfordern sofortige Aufmerksamkeit und Schadensbegrenzung.
Betroffene Produkte
Die folgenden Produkte von Microsoft sind von dieser Sicherheitslücke betroffen:
- Windows Server 2008/2008 R2/2012/2012 R2
- Windows Server 2016/2019/2022/2025
- Windows 10 (all versions from 1607 to 22H2)
- Windows 11 (22H2, 23H2, 24H2)
- Remote Desktop Client für Windows Desktop
- Windows App Client für Windows Desktop
Angriffspfad
Ein Angriff, der CVE-2025-48817 ausnutzt, verläuft in folgenden Phasen:
- Phase 1: Einrichtung eines bösartigen RDP Servers. Dies kann auf verschiedene Weise geschehen, z. B. durch die Verwendung von Open-Source-RDP-Implementierungen, kommerzielle Tools oder die Einführung legitimer Infrastrukturen.
- Phase 2: Nutzerinteraktion. Dabei wird ein Administrator (oder ein privilegierter Endpunkt) dazu verleitet, eine RDP-Verbindung zum bösartigen Server aufzubauen. Dies kann durch Phishing, Social-Engineering oder verschiedene laterale Bewegungsstrategien geschehen.
- Phase 3: Ausnutzung der Sicherheitslücke. Sobald das Opfer eine Verbindung herstellt, präsentiert der Server Ressourcen oder zugeordnete Laufwerke mit speziell erstellten Pfaden. Der ungeschützte Client prüft diese Eingaben nicht und lehnt sie letztlich nicht ab. Er verarbeitet Dateivorgänge außerhalb des vorgesehenen Bereichs.
- Phase 4: Ausführung von Remote-Code. Der Schadcode des Angreifers wird auf dem lokalen System ausgeführt. Dies kann zur Installation von Ransomware oder Malware oder zur Einrichtung eines Backdoor-Zugriffs führen.
Patches
Am 8. Juli hat Microsoft umfassende Sicherheitspatches für CVE-2025-48817 im gesamten Windows-Ökosystem veröffentlicht. Alle Updates sind im Microsoft Security Response Center verfügbar.
Betroffene Unternehmen werden dringend gebeten, die Anwendung der beiden Sicherheitsupdates KB5062553 und KB5062552 sowie der Patches, die ihren jeweiligen Windows-Versionen entsprechen, zu priorisieren.
Einblicke & Ratschläge von unserem Spezialisten für Betriebssicherheit Patrick Pilotte:
Die kürzlich bekannt gewordene Sicherheitslücke CVE-2025-48817 in Microsofts Remote-Desktop-Client ist eine deutliche Erinnerung an die inhärenten Sicherheitsrisiken, die mit der RDP-Nutzung in Windows-Umgebungen verbunden ist. Dieser schwerwiegende Fehler betrifft eine Vielzahl von Systemen – von Windows Server 2008 bis Windows 11 – und ermöglicht nicht authentifizierte RCE (Ausführung von Remote-Code), wenn sich ein Nutzer mit einem bösartigen Server verbindet.
Obwohl Microsoft am 8. Juli Patches veröffentlicht hat und (noch) keine Ausnutzung der Sicherheitslücke bekannt ist, ist der Angriffspfad beunruhigend einfach: Ein privilegierter Nutzer wird dazu verleitet, eine Remote-Desktop-Verbindung zu einem betrügerischen Server herzustellen. Dies kann durch Phishing, Social-Engineering oder laterale Bewegungsstrategien geschehen. Sobald die Verbindung hergestellt ist, kann der bösartige Server Schwachstellen bei der relativen Pfaddurchquerung ausnutzen, um Ordnergrenzen zu umgehen und beliebigen Code auf dem Clientcomputer auszuführen – ohne dass eine Erhöhung der Berechtigungen erforderlich wäre.
Minderungsstrategien und wie Devolutions hilft
Bei Devolutions setzen wir auf proaktive, mehrschichtige Sicherheit, die Teams nicht durch Komplexität belastet. Hier sind einige der Möglichkeiten, wie wir Unternehmen helfen, ihre Anfälligkeit für Sicherheitslücken wie CVE-2025-48817 zu reduzieren:
- Durchsetzung der geringsten Privilegien mit Devolutions PAM: Implementieren Sie Just-in-Time-Zugriff, begrenzen Sie die Dauer von Sitzungen und legen Sie fest, wer RDP-Zugriff erhält – und wann. Alle privilegierten Sitzungen werden protokolliert und können überprüft werden.
- Zentralisierung der RDP-Überwachung und vollständige Transparenz bei allen Remote-Sitzungen mit Remote Desktop Manager: Verfolgen Sie jeden Verbindungsversuch und blockieren/isolieren/überprüfen Sie den Zugriff basierend auf Rolle/Quelle/Ziel.
- Einrichtung von Zero Trust und Netzwerksegmentierung: Unsere Lösungen unterstützen die Zero-Trust-Architektur, indem sie jede Sitzung vor dem Start validieren. In Kombination mit der Netzwerksegmentierung verhindern die Lösungen auch unbefugte laterale Bewegungen und blockieren Verbindungen zu nicht vertrauenswürdigen RDP-Endpunkten.
- Vermeidung der direkten Nutzung anfälliger Clients: Eliminieren Sie die Notwendigkeit für Nutzer, eine direkte Verbindung über anfällige Microsoft RDP-Clients herzustellen, indem Sie sichere Remote-Sitzungen über Devolutions Gateway, Jump-Hosts oder Remote Desktop Manager-Proxys ermöglichen. Dadurch wird eine kritische Lücke in der Angriffsfläche geschlossen.
- Schulung von Endnutzern: Phishing- und Social-Engineering-Angriffe werden mit dem Aufkommen von KI immer realistischer und Endnutzer müssen zur Lösung für Cybersicherheit gehören – sonst können sie unwissentlich zum Problem werden. Führungskräfte sollten nicht davon ausgehen, dass ihre Mitarbeiter geschult und informiert sind. Menschliches Versagen spielt bei 68 % der Datenschutzverletzungen ein Rolle und Unternehmen, die Phishing-Simulationen durchführen, verzeichnen eine 70-prozentige Verringerung der Anfälligkeit der Endnutzer für Phishing-Angriffe innerhalb eines Zeitraums von sechs Monaten.
Abschließende Überlegungen
CVE-2025-48817 ist nicht die erste RDP-bezogene Sicherheitslücke – und wird leider auch nicht die letzte sein. Aber sie bietet eine wertvolle Gelegenheit, die Kontrollen für den Remote-Zugriff zu überdenken. Mit den Lösungen von Devolutions können Unternehmen ihre Angriffsfläche reduzieren, privilegierte Aktivitäten überwachen und eine strenge Zugriffskontrolle durchsetzen – bevor Bedrohungsakteure eine neu entdeckte Schwachstelle ausnutzen.