Bußgeld-Kopfzeile
Kali
für AMD64
Mac
für ARM64
Mac
Demnächst verfügbar
Windows
Demnächst verfügbar

URGENT: Windows PowerShell 0-Day (CVE-2025-54100) Vertiefung und kritischer Patch-Leitfaden

Einleitung: Wenn das "Schweizer Armeemesser" Sie schneidet

Am 9. Dezember 2025 ließ das Microsoft Security Response Center (MSRC) während seines monatlichen "Patch Tuesday" eine Bombe platzen: ein kritischer 0-Day-Schwachstelle in Windows PowerShell, verfolgt als CVE-2025-54100.

Mit einem CVSS-Wert von 7.8 (Hoch)Diese Sicherheitslücke betrifft einen großen Teil des Windows-Ökosystems - von älteren Servern bis hin zu den neuesten Windows 11-Builds. Da PowerShell tief in die Struktur des Betriebssystems integriert ist, bietet diese Schwachstelle Angreifern eine gefährliche "Living-off-the-Land"-Möglichkeit (LotL), die es ihnen ermöglicht, bösartigen Code mit vertrauenswürdigen, systemeigenen Tools auszuführen.

Egal, ob Sie ein SysAdmin sind, der eine Serverfarm verwaltet, oder ein Sicherheitsforscher - diesen Patch zu ignorieren ist keine Option. Dieser Leitfaden enthält eine technische Aufschlüsselung der Schwachstelle, die offizielle Patch-Matrix und die notwendige Code-Umstrukturierung, damit Ihre Skripte sicher laufen.

Windows PowerShell 0-Day CVE-2025-54100

Technische Vertiefung: Die Mechanik von CVE-2025-54100

Um zu verstehen, wie schwerwiegend dieses Problem ist, müssen wir uns die zugrunde liegende Schwäche ansehen: CWE-77 (Unzulässige Neutralisierung von Spezialelementen, die in einem Kommando verwendet werden).

Die Logik der Verwundbarkeit

Das Kernproblem liegt darin, wie Windows PowerShell Benutzereingaben bereinigt, bevor sie an den Befehlszeileninterpreter übergeben werden. Wenn eine Anwendung oder ein Skript einen PowerShell-Befehl mit nicht vertrauenswürdigen Eingaben ohne ordnungsgemäße Filterung erstellt, öffnet dies die Tür für Befehlsinjektion.

Angriffsszenario (konzeptioneller Nachweis des Konzepts)

Haftungsausschluss: Der folgende Code ist nur für Bildungszwecke gedacht.

Stellen Sie sich ein legitimes Verwaltungsskript vor, das auf der Grundlage von Benutzereingaben Protokolldateien lesen soll:

PowerShell

# VULNERABLE PATTERN $UserInput = Read-Host "Enter log filename"

Windows PowerShell 0-Day CVE-2025-54100 PoC

Die Eingabe wird direkt in die Befehlszeichenkette konkateniert

Invoke-Ausdruck "Get-Content C:\Logs\$UserInput"`

In einem Standardszenario gibt ein Benutzer app.log ein.

Wenn ein Angreifer jedoch CVE-2025-54100 auf einem ungepatchten System ausnutzt, könnte er Daten eingeben:

app.log; Start-Vorgang calc.exe

Der Parser, der das Semikolon nicht neutralisieren kann (;), interpretiert dies als zwei verschiedene Befehle:

  1. Lesen Sie das Protokoll: Get-Content C:\\Logs\\app.log
  2. Ausführen der Nutzlast: Start-Prozeß calc.exe (Bei einem echten Angriff wäre dies ein Ransomware-Downloader oder ein C2-Bake).

Der Angriffsvektor: "Lokal" aber tödlich

Microsoft stuft dies als "lokalen" Angriffsvektor ein. Dies bedeutet, dass ein Angreifer in der Regel benötigt:

  • Low-Level-Zugang zum System, ODER
  • Überzeugen eines Benutzers, eine bösartige Datei auszuführen (Social Engineering/Phishing).

Sobald sie erfolgreich sind, können sie diese Injektion nutzen, um ihre Privilegien zu erweitern oder sich seitlich im Netzwerk zu bewegen.

Windows PowerShell 0-Day CVE-2025-54100 PoC

Die Patch-Matrix: Identifizieren Sie Ihre kritischen Updates

Microsoft hat Notfall-Sicherheitsupdates veröffentlicht. IT-Administratoren sollten die folgenden KBs sofort über WSUS, SCCM oder manuellen Download priorisieren.

OS-VersionSchweregradKritische KB-Patch-IDHinweise zum Einsatz
Windows Server 2025HochKB5072033Erfordert einen Neustart
Windows 11 (24H2 / 25H2)HochKB5074204Kumulative Aktualisierung
Windows Server 2022HochKB5074204Vorrangige Installation
Windows Server 2019HochKB5074353
Windows 10 (22H2)HochKB5071546Ausschließlich sicherheitsrelevantes Update verfügbar
Windows Server 2012 R2MittelKB5071544Nur ESU (Extended Support)

Kritische Warnung: Da dieser Patch zentrale PowerShell-Binärdateien ändert, ist ein Neustart des Systems erforderlich. Stellen Sie sicher, dass Sie Wartungsfenster entsprechend planen, um Dienstunterbrechungen zu vermeiden.

Das "Gotcha": Reparieren defekter Skripte nach dem Patching

Sicherheit geht in der Regel auf Kosten der Bequemlichkeit. Die Updates für CVE-2025-54100 (speziell in KB5074204 und KB5074353) führen strengere Sicherheitskontrollen für Webanfragen ein.

Das Problem: Invoke-WebRequest Misserfolge

Nach dem Patching kann es vorkommen, dass Ihre Automatisierungsskripte mit der folgenden Fehlermeldung fehlschlagen:

"Der Inhalt der Antwort kann nicht geparst werden, da die Internet Explorer-Engine nicht verfügbar ist oder die Erststartkonfiguration von Internet Explorer nicht vollständig ist.

Dies geschieht, weil Microsoft endlich die Verbindung zwischen PowerShell und der veralteten Internet Explorer-Parsing-Engine kappt, um die Angriffsfläche zu verringern.

Die Lösung: Code-Refactoring

Sie müssen Ihre Skripte aktualisieren, damit sie sich nicht mehr auf den IE für das DOM-Parsing verlassen. Die Lösung besteht darin, die Verwendung des Grundlegendes Parsing Modus.

Der gebrochene Code (Vermächtnis)

PowerShell

# Dies beruht auf der IE-Engine, die jetzt eingeschränkt oder entfernt wurde $response = Invoke-WebRequest -Uri "" Write-Output $response.Content

Der sichere Code (Best Practice)

PowerShell

# Fügt den Schalter -UseBasicParsing für Geschwindigkeit, Sicherheit und Kompatibilität hinzu $response = Invoke-WebRequest -Uri "" -UseBasicParsing Write-Output $response.Content

Profi-Tipp für Admins:

Verwenden Sie eine Regex-Suche in Ihrer IDE (VS Code / ISE), um Ihr Skript-Repository zu durchsuchen:

  • Finden: Invoke-WebRequest\\s+(?!.*-UseBasicParsing)
  • Aktion: Anhängen UseBasicParsing zu diesen Fällen.

Defense in Depth: Jenseits des Patches

Patching ist reaktiv. Um sich vor zukünftigen 0-Days zu schützen, müssen Sie eine "Defense in Depth"-Strategie für PowerShell anwenden.

A. Erzwingen des eingeschränkten Sprachmodus

Für nicht-administrative Benutzer sollte PowerShell in Eingeschränkter Sprachmodus. Dies schränkt die Möglichkeiten zum Aufrufen von Windows-APIs oder zum Kompilieren von beliebigem .NET-Code stark ein.

PowerShell

# Überprüfen Sie Ihren aktuellen Modus $ExecutionContext.SessionState.LanguageMode

Zielausgabe für Standardbenutzer: ConstrainedLanguage`

B. Skriptblockprotokollierung aktivieren

Angreifer lieben PowerShell, weil es im Speicher (ohne Dateien) ausgeführt wird. Um sie abzufangen, müssen Sie den tatsächlich ausgeführten Code protokollieren.

  • GPO-Pfad: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows PowerShell > PowerShell-Skriptblockprotokollierung einschalten.

C. SIEM-Erkennungsregeln

Aktualisieren Sie Ihre SOC-Überwachungsregeln, um potenzielle Missbrauchsversuche zu erkennen:

  • Prozess-Hierarchie: Warnung, wenn powershell.exe wird von Office-Anwendungen (Word, Excel) hervorgebracht.
  • Verdächtige Argumente: Achten Sie auf stark verschleierte Befehle oder die Verwendung von EncodedCommand.
  • Ereignis ID 4104: Scannen Sie Skriptblockprotokolle nach Schlüsselwörtern wie Invoke-Ausdruck oder IEX kombiniert mit Netzanrufen.
Kostenloses AI Pentest Tool ausprobieren

Schlussfolgerung

Die Enthüllung von CVE-2025-54100 ist eine deutliche Mahnung: Identität und Konfiguration sind die neue Grenze. Während die unmittelbare Lösung darin besteht, die KBs vom Dezember (KB5072033/KB5074204) anzuwenden, besteht die langfristige Lösung darin, Ihre Umgebung gegen den Missbrauch von nativen Tools zu härten.

Ihr Aktionsplan:

  1. Prüfung: Scannen Sie Ihr Netzwerk nach ungepatchten Windows-Endpunkten.
  2. Aufnäher: Installieren Sie sofort die Sicherheitsupdates für Dezember.
  3. Umgestalten: Aktualisieren Sie Ihre Automatisierungsskripte zur Verwendung von UseBasicParsing.

Bleiben Sie in Sicherheit und bewahren Sie Ihre Muscheln sicher auf.

Teilen Sie den Beitrag:
Verwandte Beiträge
Penetrante Fußzeile