Microsoft patcht 172 Sicherheitslücken

Microsoft liefert das größte Sicherheitsupdate des Jahres und schließt kritische Zero-Day-Lücken.

Der Software-Riese aus Redmond hat diese Woche ein gewaltiges Sicherheitspaket veröffentlicht: 172 Schwachstellen wurden mit dem Oktober-Patch-Tuesday geschlossen. Besonders brisant: Mindestens zwei Zero-Day-Lücken werden bereits aktiv von Hackern ausgenutzt. IT-Administratoren sollten diese Updates daher höchste Priorität einräumen.

Die schiere Anzahl der behobenen Schwachstellen macht deutlich, wie komplex die Bedrohungslage geworden ist. Angreifer können über die Lücken Code aus der Ferne ausführen, ihre Systemrechte erweitern oder Sicherheitsfunktionen umgehen. Betroffen sind nahezu alle Microsoft-Produkte – von Windows über Office bis hin zu Azure und Exchange Server.

Das Timing ist kein Zufall: Parallel endete diese Woche der kostenlose Sicherheitssupport für Windows 10. Millionen Nutzer stehen damit vor einer schwierigen Entscheidung.

Zero-Day-Angriffe bereits im Gange

Unter den 172 geschlossenen Lücken stechen mehrere Zero-Day-Schwachstellen hervor. Zwei davon werden nachweislich bereits für Attacken genutzt.

CVE-2025-59230 betrifft den Windows Remote Access Connection Manager und ermöglicht Angreifern, ihre Systemrechte auf SYSTEM-Level anzuheben – praktisch die Vollkontrolle über den Computer. Laut Sicherheitsexperte Satnam Narang von Tenable ist dies die erste Zero-Day-Lücke in dieser Windows-Komponente.

Noch drastischer fällt Microsofts Reaktion auf CVE-2025-24990 aus: Diese Schwachstelle steckt in einem veralteten Agere-Modem-Treiber, den Windows seit Jahren mitliefert. Statt die Lücke zu flicken, entfernt Microsoft den kompletten Treiber. Die Folge: Fax-Modems, die auf diesen Treiber angewiesen sind, werden funktionsunfähig.

Fernzugriff und erweiterte Rechte im Fokus

Die Angreifer haben es besonders auf zwei Schwachstellentypen abgesehen: 80 der behobenen Lücken ermöglichen eine Rechteerweiterung, 31 weitere die Ausführung von Code aus der Ferne.

Besonders gefährlich ist CVE-2025-59287, eine kritische Lücke im Windows Server Update Service (WSUS). Mit einem Schweregrad von 9,8 von 10 Punkten könnte sie Angreifern ermöglichen, sich über mehrere Server hinweg auszubreiten – ein Alptraum für Unternehmensnetzwerke.

Auch Microsoft Office bleibt nicht verschont: Mehrere Use-After-Free-Bugs in Excel und anderen Office-Anwendungen könnten durch speziell präparierte Dateien ausgelöst werden.

Breites Spektrum weiterer Schwachstellen

Neben den Schlagzeilen-trächtigen Zero-Days und kritischen Fernzugriffslücken behebt Microsoft ein ganzes Spektrum weiterer Sicherheitsprobleme: 11 Umgehungen von Sicherheitsfunktionen, 28 Informationslecks und 21 weitere Schwachstellen verschiedener Kategorien.

Bemerkenswert ist eine Secure-Boot-Umgehung (CVE-2025-47827), die Geräte mit IGEL OS betrifft – einem Linux-System für virtuelle Desktops. Außerdem wurde eine öffentlich bekannte Schwachstelle im Trusted Platform Module (TPM) 2.0 geschlossen.

Den höchsten Schweregrad erhielt jedoch CVE-2025-55315 in ASP.NET Core mit 9,9 von 10 Punkten – der bisher höchste Wert für dieses Framework.

Windows 10: Das Ende einer Ära

Das Oktober-Update markiert einen Wendepunkt: Es ist das letzte kostenlose Sicherheitsupdate für Windows 10. Nutzer und Unternehmen müssen nun entweder auf Windows 11 umsteigen oder kostenpflichtige Erweiterte Sicherheitsupdates (ESU) erwerben.
Anzeige: Für alle, die wegen des Support-Endes von Windows 10 jetzt auf Windows 11 umsteigen müssen, deren PC aber als „inkompatibel“ gilt: Es gibt einen legalen Weg, der trotzdem funktioniert. Der kostenlose PDF‑Report des IT‑Experten Manfred Kratzl zeigt Schritt für Schritt, wie Sie Windows 11 trotz Kompatibilitätsprüfung installieren – ohne neue Hardware und ohne Datenverlust. Jetzt kostenlosen PDF‑Report sichern
Wer keine dieser Optionen wählt, macht seine Systeme zur leichten Beute für Cyberkriminelle. Sicherheitsexperten rechnen bereits mit einer Welle von Angriffen auf ungepatchte Windows-10-Systeme.

Schnelles Handeln gefordert

IT-Sicherheitsexperten raten zu sofortigem Handeln. “Da die verwundbaren Dateien auf allen Windows-Systemen vorhanden sind, sollten Sie das als breit angelegten Angriff betrachten und schnell updaten”, warnt Dustin Childs von Trend Micros Zero Day Initiative.

Die Prioritäten sind klar: Zuerst die aktiv ausgenutzten Zero-Days patchen, dann die kritischen Fernzugriffslücken – allen voran die WSUS-Schwachstelle. Angesichts der Komplexität moderner IT-Landschaften wird das monatliche Patch-Tuesday-Ritual von Microsoft wohl auch künftig für Dauerstress in den IT-Abteilungen sorgen.