Microsoft behebt über 80 Sicherheitslücken im September-Update

Microsofts großer Patch Tuesday bringt Fixes für kritische Schwachstellen in Windows, Office und Azure. Zwei Zero-Day-Lücken waren bereits öffentlich bekannt, bevor Patches verfügbar waren.

Der Software-Riese aus Redmond hat diese Woche sein September-Update veröffentlicht und dabei mehr als 80 Sicherheitslücken in seinem gesamten Produktportfolio geschlossen. Betroffen sind unter anderem Windows, Microsoft Office, Azure, SQL Server und Hyper-V. Immerhin: Keine der Schwachstellen wird derzeit aktiv ausgenutzt.

Acht der behobenen Lücken stuft Microsoft als kritisch ein – die höchste Gefahrenstufe. Die meisten Schwachstellen ermöglichen eine Rechteausweitung, gefolgt von Fehlern zur Remote-Code-Ausführung. Für Administratoren bedeutet das: schnell patchen.

Zwei Zero-Days im Fokus der Sicherheitsexperten

Besonders brisant sind zwei Zero-Day-Vulnerabilities, die bereits öffentlich bekannt waren, bevor Microsoft Patches bereitstellen konnte.

CVE-2025-55234 betrifft das Windows Server Message Block (SMB) Protokoll und erhält einen CVSS-Score von 8,8. Ein Angreifer ohne Authentifizierung könnte über Relay-Attacken höhere Rechte erlangen. Microsoft hat neben dem Patch auch erweiterte Überwachungsfunktionen eingeführt, die Administratoren bei der schrittweisen Härtung ihrer SMB-Server unterstützen sollen.

Die zweite Zero-Day-Lücke CVE-2024-21907 steckt in der Newtonsoft.Json-Bibliothek, die in Microsoft SQL Server integriert ist. Speziell gestaltete JSON-Daten können einen kompletten Service-Ausfall verursachen. Obwohl die Ausnutzungswahrscheinlichkeit als gering eingestuft wird, machte die öffentliche Bekanntheit ein schnelles Patching erforderlich.

NTLM und HPC Pack: Kritische Schwachstellen mit Sprengkraft

Abseits der Zero-Days verdienen weitere kritische Lücken höchste Aufmerksamkeit. CVE-2025-54918 betrifft den Windows New Technology LAN Manager (NTLM) und trägt ebenfalls einen CVSS-Score von 8,8. Microsoft stuft die Ausnutzungswahrscheinlichkeit als hoch ein – erfolgreiche Angriffe verschaffen Attackern vollständige SYSTEM-Rechte. Das ist bereits die zweite kritische NTLM-Lücke in diesem Monat.

Den Spitzenplatz der Bedrohungsskala belegt CVE-2025-55232 mit einem CVSS-Score von 9,8. Diese Remote-Code-Execution-Lücke im Microsoft High Performance Compute (HPC) Pack ermöglicht die Codeausführung ohne Nutzerinteraktion. Sicherheitsexperten warnen vor dem „Wurm-Potenzial“ – die Schwachstelle könnte zur Entwicklung sich selbst verbreitender Malware missbraucht werden.

Flächendeckende Patches für das Windows-Ökosystem

Das September-Update beseitigt auch eine Remote-Code-Execution-Lücke im weit verbreiteten Windows NTFS-Dateisystem (CVE-2025-54916). Da NTFS in praktisch allen modernen Windows-Versionen zum Einsatz kommt, betrifft diese Schwachstelle Millionen von Systemen weltweit.

Microsoft Office und Excel erhalten ebenfalls wichtige Sicherheitspatches gegen RCE-Vulnerabilities, die beim Öffnen manipulierter Dokumente ausgenutzt werden könnten. Weitere Fixes betreffen zentrale Windows-Komponenten wie den Graphics Kernel, Windows Hyper-V und den TCP/IP-Treiber.

Rekord-Jahr 2025: Microsoft meldet 100 Schwachstellen mehr als 2024

Das aktuelle Update reiht sich in einen Trend hoher Patch-Zahlen ein. Microsoft hat 2025 bereits etwa 100 Vulnerabilities mehr gemeldet als im Vergleichszeitraum 2024. Besonders auffällig: 41 der aktuell gepatchten Lücken ermöglichen eine Rechteausweitung.

Während das Fehlen aktiv ausgenutzter Zero-Days zunächst beruhigt, schufen die beiden öffentlich bekannten Schwachstellen ein Zeitfenster der Gefährdung. Sicherheitsexperten betonen, dass die Einstufung „Ausnutzung wahrscheinlicher“ bei kritischen Lücken wie NTLM und NTFS als dringender Handlungsauftrag verstanden werden sollte.

Das Microsoft-Update fällt zeitlich mit wichtigen Sicherheits-Releases von Google und SAP zusammen, die ebenfalls kritische Schwachstellen in ihren Produkten geschlossen haben – vergleichbar mit den regelmäßigen Updates deutscher Software-Riesen wie SAP.
Anzeige: Während die Patch-Zahlen steigen, möchten viele Windows-10-Nutzer Windows 11 erst gefahrlos ausprobieren. Ein kostenloser Report erklärt Schritt für Schritt, wie Sie Windows 11 sicher testen und den Umstieg stressfrei vorbereiten – inklusive der wichtigsten Neuerungen. Windows 11 Starterpaket jetzt gratis sichern

Windows 10-Support endet: Zeit für Patch-Management-Strategien

Für IT-Administratoren steht die Bewertung und Einspielung der kritischen Updates ganz oben auf der Agenda. Besondere Priorität verdienen die Schwachstellen in weit verbreiteten Protokollen wie SMB und NTLM sowie die hochgefährliche HPC Pack-Lücke für Organisationen mit Hochleistungsrechenzentren.

Microsoft nutzt das aktuelle Update, um an das nahende Support-Ende von Windows 10 im Oktober 2025 zu erinnern. Unternehmen, die nicht rechtzeitig migrieren können, sollten das Extended Security Updates (ESU) Programm in Betracht ziehen. Die kontinuierliche Entdeckung schwerwiegender Vulnerabilities unterstreicht die kritische Bedeutung konsequenten Patch-Managements für die IT-Sicherheit.
Anzeige: Ihr PC gilt als „inkompatibel“ für Windows 11? Es gibt einen legalen Weg: Ein kostenloser PDF?Report zeigt Schritt für Schritt, wie das Upgrade trotzdem gelingt – ohne neue Hardware und ohne Datenverlust. Systemanforderungen in Windows 11 umgehen – Gratis?Report herunterladen