Microsoft behebt über 80 Sicherheitslücken in großem Update

Microsoft schließt mit seinem September-Update kritische Schwachstellen in Windows und Office. Zwei bereits öffentlich bekannte Zero-Day-Lücken stehen im Fokus.

Das September-Update von Microsoft bringt Fixes für bis zu 86 Sicherheitslücken mit sich – ein außergewöhnlich umfangreiches Paket. Besondere Aufmerksamkeit verdienen zwei Zero-Day-Schwachstellen, die bereits vor der Patch-Veröffentlichung öffentlich bekannt waren. Glücklicherweise werden diese noch nicht aktiv ausgenutzt.

Die Patches decken das gesamte Microsoft-Spektrum ab: Windows-Versionen, Office-Programme, Azure-Dienste und Windows Server. IT-Abteilungen stehen vor der Herausforderung, mindestens acht als „kritisch“ eingestufte Sicherheitslücken schnellstmöglich zu schließen.

Zwei Zero-Days im Visier der Hacker

Die gefährlichste der gepatchten Lücken trägt die Bezeichnung CVE-2025-55234 und betrifft das Windows Server Message Block (SMB) Protokoll. Angreifer könnten diese Schwachstelle für sogenannte SMB-Relay-Attacken nutzen und sich erweiterte Systemrechte verschaffen – ohne sich vorher authentifizieren zu müssen.

Microsoft betont, dass bislang keine aktiven Angriffe bekannt sind. Dennoch sollten Administratoren ihre SMB-Server-Konfigurationen überprüfen und härten. Die zweite Zero-Day-Lücke CVE-2024-21907 steckt in einer Newtonsoft.Json-Komponente des SQL Servers und gefährdet Datenbankumgebungen.

Office und Windows NTLM besonders gefährdet

Neben den Zero-Days bereiten weitere kritische Schwachstellen Sicherheitsexperten Kopfzerbrechen. CVE-2025-54910 ermöglicht Angreifern die Fernsteuerung von Rechnern über manipulierte Office-Dokumente. Öffnet ein Nutzer eine präparierte Datei, kann Schadcode ausgeführt werden.

Noch bedrohlicher ist CVE-2025-54918 im Windows NTLM-Protokoll mit einem CVSS-Score von 8.8. Erfolgreiche Angriffe verschaffen Hackern vollständige Systemkontrolle. Sicherheitsforscher stufen diese Lücke als „wahrscheinlich ausnutzbar“ ein.

Umfassende Reparaturen im Microsoft-Kosmos

Das September-Paket zeigt die Breite möglicher Angriffsflächen auf. Betroffen sind Windows-Kernkomponenten wie NTFS, der Windows-Kernel selbst, Hyper-V und Grafikschnittstellen. Den Spitzenwert erreicht CVE-2025-55232 im High Performance Compute Pack mit einem CVSS-Rating von 9.8 – Angreifer könnten ohne Nutzerinteraktion Code ausführen.

Microsoft Office erhielt Updates für die Versionen 2016 bis zu den aktuellen Microsoft 365 Apps. Auffällig: 45 Prozent aller gefixten Schwachstellen ermöglichen eine Rechteausweitung – ein beliebtes Angriffsziel von Cyberkriminellen.

Windows 10 vor dem Aus

Das September-Update gewinnt zusätzliche Brisanz durch das nahende Support-Ende für Windows 10 im Oktober. Organisationen, die noch nicht auf Windows 11 umgestiegen sind, müssen diese Patches unbedingt installieren – es könnten die letzten kostenlosen Sicherheitsupdates sein.

Anzeige: Apropos Support-Ende von Windows 10: Der Umstieg auf Windows 11 muss weder stressig noch riskant sein. Ein kostenloser Report zeigt Schritt für Schritt, wie Sie Installation, Daten- und Programmübernahme sicher meistern – inklusive der wichtigsten Neuerungen. So wechseln Sie ohne Datenverlust und mit Plan. Jetzt kostenlosen Windows‑11‑Report sichern

Gerade die NTLM- und Office-Schwachstellen stehen typischerweise im Fokus organisierter Hackergruppen. Mit über 80 behobenen Lücken zeigt Microsoft zwar Engagement, belastet aber gleichzeitig IT-Teams mit umfangreichen Test- und Installationszyklen.

Anzeige: Für alle, deren PC offiziell „inkompatibel“ für Windows 11 ist: Das Upgrade klappt oft trotzdem – legal, ohne neue Hardware und ohne Datenverlust. Eine Gratis-PDF erklärt den einfachen Weg Schritt für Schritt, sodass Programme und Dateien erhalten bleiben. Ideal, um noch rechtzeitig vor dem Windows‑10‑Supportende zu wechseln. Kostenlosen Report zum Upgrade trotz „inkompatibel“ herunterladen

Die Zukunft wird zeigen, ob Proof-of-Concept-Codes für die gepatchten Lücken auftauchen. Administratoren sollten besonders die SMB-Konfigurationen prüfen und sicherstellen, dass SMB-Signing aktiviert ist. Das Oktober-Update wird für viele Unternehmen zur Zäsur – dann endet eine Ära der kostenlosen Windows-10-Updates.