Microsoft: 80 Sicherheitslücken in September-Update gepatcht

Microsoft hat diese Woche sein September-Update mit Fixes für rund 80 Schwachstellen veröffentlicht. Darunter acht kritische Sicherheitslücken und zwei bereits öffentlich bekannte Zero-Day-Vulnerabilities in Windows, Office und Azure.

IT-Administratoren stehen unter Zeitdruck: Obwohl noch keine aktiven Angriffe bekannt sind, erhöht die öffentliche Bekanntgabe der Schwachstellen das Risiko erheblich. Betroffen sind praktisch alle Microsoft-Produkte – von Windows-Betriebssystemen über Office bis hin zu Hyper-V und dem .NET-Framework.

Kritische Lücken fordern sofortiges Handeln

Besonders brisant: Fast die Hälfte aller gepatchten Vulnerabilities betrifft Privilege-Escalation-Schwachstellen, gefolgt von Remote-Code-Execution-Lücken mit 27,5 Prozent. Eine gefährliche Kombination, die Angreifern den Weg zu vollständiger Systemkontrolle ebnet.

Die beiden bereits öffentlich bekannten Schwachstellen stehen ganz oben auf der Prioritätenliste. CVE-2025-55234 betrifft Windows Server Message Block (SMB) und ermöglicht unauthentifizierten Angreifern Relay-Attacken mit erweiterten Berechtigungen. Der CVSS-Score von 8.8 unterstreicht die Brisanz.

Die zweite bekannte Lücke, CVE-2024-21907, führt zu Denial-of-Service-Angriffen auf die in SQL Server verwendete Newtonsoft.Json-Bibliothek.

NTLM erneut im Visier der Angreifer

Höchste Aufmerksamkeit verdient CVE-2025-54918 – eine kritische Privilege-Escalation-Lücke in Windows NTLM. Mit einem CVSS-Score von 8.8 kann sie Angreifern volle SYSTEM-Rechte verschaffen. Microsofts Exploitability Index stuft diese Schwachstelle als „Exploitation More Likely“ ein.

Bemerkenswert: Das ist bereits die dritte kritische NTLM-Schwachstelle in 2025. Ein Muster, das IT-Sicherheitsexperten zunehmend beunruhigt.

Nicht weniger problematisch ist CVE-2025-54910 in Microsoft Office. Hier genügt bereits das Öffnen eines präparierten Dokuments – oder sogar nur die Vorschau in Outlook – für eine vollständige Systemkompromittierung.

Hyper-V-Lücken bedrohen Cloud-Umgebungen

Besonders kritisch für Rechenzentren und Cloud-Anbieter: Microsoft hat mehrere schwerwiegende Schwachstellen in Hyper-V geschlossen. Diese könnten es Angreifern ermöglichen, aus einer virtuellen Maschine auszubrechen und Code auf dem Host-System auszuführen.

Die Schwachstelle CVE-2025-55232 im Microsoft High Performance Compute Pack erreicht sogar einen CVSS-Score von 9.8 – eine der schwersten Lücken dieses Monats. Unauthentifizierte Netzwerkangriffe ohne Nutzerinteraktion sind möglich.

Windows 10: Ende einer Ära naht

„Zum dritten Mal dieses Jahr hat Microsoft mehr Privilege-Escalation- als Remote-Code-Execution-Schwachstellen gepatcht“, erklärt Satnam Narang von Tenable. Diese Entwicklung zeigt: Angreifer suchen verstärkt nach Wegen, ihre Berechtigungen nach einem ersten Einbruch zu erweitern.

Doch das September-Update bringt auch eine wichtige Erinnerung mit sich: Windows 10 verliert im Oktober 2025 den Support. Unternehmen, die nicht rechtzeitig migrieren können, sollten das Extended Security Updates-Programm in Betracht ziehen.

Anzeige: Apropos Support-Ende von Windows 10: Wer den Umstieg auf Windows 11 ohne Stress, Datenverlust und Kompatibilitätsprobleme planen möchte, bekommt mit dem kostenlosen Report „Windows 11 Komplettpaket“ eine Schritt-für-Schritt-Anleitung inklusive Daten- und Programmübernahme sowie Checklisten. So sparen Sie Zeit im Projekt und vermeiden typische Fallstricke. Jetzt kostenlosen Windows?11?Report sichern

Die Kombination aus kritischen Schwachstellen und auslaufenden Produktzyklen macht deutlich: Robuste Patch-Management-Strategien sind wichtiger denn je. IT-Teams sollten sich zunächst auf die NTLM-, SMB- und Office-Schwachstellen konzentrieren – hier ist das Risiko am höchsten.