Microsoft: Rekord-Sicherheitsupdate mit 172 Schwachstellen

Microsoft veröffentlicht das größte Sicherheitsupdate des Jahres 2025. Die über 172 behobenen Schwachstellen umfassen mehrere bereits aktiv ausgenutzte Zero-Day-Lücken.

Diese Woche rollte der Softwareriese sein Oktober-Sicherheitsupdate aus – und die Zahlen sind beeindruckend. Mit mehr als 172 behobenen Schwachstellen (CVEs) erreicht Microsoft einen neuen Monatsrekord für 2025. Besonders brisant: Mehrere der Sicherheitslücken werden bereits von Hackern aktiv ausgenutzt.

Das Update markiert zugleich einen historischen Wendepunkt. Es handelt sich um das letzte reguläre Sicherheitsupdate für Windows 10 – ein Betriebssystem, das noch auf Millionen Rechnern weltweit läuft.

Im Zentrum der Aufmerksamkeit stehen mindestens zwei, nach anderen Zählungen sogar sechs Zero-Day-Schwachstellen. Diese bereits von Angreifern genutzten Lücken erfordern sofortiges Handeln.

Die kritischste Schwachstelle CVE-2025-59230 betrifft den Windows Remote Access Connection Manager. Angreifer können über diese Lücke ihre Benutzerrechte auf vollständige Systemkontrolle ausweiten. Die US-Behörde für Cybersicherheit (CISA) hat Bundesbehörden bereits eine Zwei-Wochen-Frist für die Installation des Patches gesetzt.

Ungewöhnlich drastisch geht Microsoft mit der zweiten Zero-Day-Lücke CVE-2025-24990 um. Statt die betroffene Modem-Software zu reparieren, entfernt das Unternehmen den anfälligen Treiber ltmdm64.sys komplett aus Windows. Der Grund: Der veraltete Code ist standardmäßig auf allen Windows-Systemen installiert – unabhängig davon, ob entsprechende Hardware vorhanden ist.

Privilegien-Eskalation dominiert die Schwachstellen

Die schiere Masse der behobenen Sicherheitslücken ist rekordverdächtig. Je nach Zählung rangiert die Gesamtzahl zwischen 172 und über 190 CVEs. Den größten Anteil machen Schwachstellen zur Privilegien-Eskalation aus: Zwischen 80 und 84 derartige Lücken wurden geschlossen.

Diese Kategorie ist besonders gefährlich für Unternehmen. Haben Angreifer erst einmal Zugang zu einem System erhalten, ermöglichen diese Schwachstellen die Ausweitung der Benutzerrechte bis hin zur Administratoren-Ebene.

Neben den Privilegien-Schwachstellen behebt Microsoft 31 Remote-Code-Execution-Lücken, 28 Schwachstellen zur Informationspreisgabe und 11 Sicherheitsumgehungen.

Besonders kritisch ist CVE-2025-59287 – eine Schwachstelle im Windows Server Update Service (WSUS) mit einem CVSS-Score von 9,8 von 10 Punkten. Angreifer könnten über diese Lücke ohne Authentifizierung Code auf WSUS-Servern ausführen. Das Perfide: WSUS ist ausgerechnet das System, das normalerweise Sicherheitsupdates verteilt.

Windows 10 erreicht das Support-Ende

Für Millionen Nutzer markiert dieser Patch Tuesday das Ende einer Ära. Am 14. Oktober 2025 endete der reguläre Support für Windows 10. Systeme ohne Upgrade auf Windows 11 oder kostenpflichtige Extended Security Updates (ESU) erhalten keine Sicherheitsupdates mehr.
Anzeige: Windows 10 ist am Support-Ende – doch viele ältere PCs gelten offiziell als „inkompatibel“ für Windows 11. Ein kostenloser PDF-Report zeigt den legalen Weg, das Upgrade trotzdem sicher zu installieren – ohne neue Hardware und ohne Datenverlust, Schritt für Schritt erklärt vom IT-Experten. Ideal, um jetzt schnell zu migrieren und weiter Sicherheitsupdates zu bekommen. Jetzt kostenlosen PDF-Report anfordern
Zeitgleich läuft auch der Support für weitere Microsoft-Produkte aus: Office 2016/2019 und Exchange Server 2016/2019 gehören ebenfalls zu den betroffenen Systemen.

Erschwerend kommt hinzu, dass das Oktober-Update mehrere kritische Schwachstellen in Microsoft Office und Excel behebt. Bei Lücken wie CVE-2025-59236 und CVE-2025-59227 genügt bereits die Vorschau einer manipulierten Datei im E-Mail-Client für eine Kompromittierung – das Öffnen der Datei ist nicht einmal erforderlich.

Bedrohungslage erreicht neue Dimension

Die Rekordzahl der Schwachstellen spiegelt eine immer komplexere Cyber-Bedrohungslage wider. Besonders die Häufung von Privilegien-Eskalations-Lücken zeigt: Angreifer gelingt der initiale Zugang zu Systemen immer öfter – etwa über Phishing-Angriffe.

Satnam Narang, Sicherheitsforscher bei Tenable, betont die Bedeutung der RasMan-Schwachstelle: “Obwohl diese Komponente regelmäßig gepatcht wird, ist dies das erste Mal, dass wir eine aktive Ausnutzung als Zero-Day beobachten.”

Dass Angreifer ausgerechnet WSUS ins Visier nehmen – das System für Patch-Verteilung –, illustriert die Raffinesse moderner Cyber-Krimineller. Über Supply-Chain-Angriffe lassen sich die Auswirkungen maximieren.

Millionen ungeschützte Systeme erwartet

Die Dringlichkeit des aktuellen Updates kann nicht überschätzt werden. Organisationen müssen die Oktober-Patches umgehend installieren. Die CISA-Direktive für Bundesbehörden unterstreicht diese Priorität auch für deutsche Unternehmen.

Langfristig entsteht jedoch ein neues Sicherheitsproblem: Millionen Windows-10-Systeme ohne Upgrade oder ESU-Vertrag werden zunehmend angreifbar. Sicherheitsexperten erwarten, dass Hacker gezielt nach diesen ungeschützten Systemen scannen werden.

Unternehmen stehen vor einer klaren Entscheidung: Migration beschleunigen oder erhebliche Sicherheitsrisiken in Kauf nehmen. Die Zeit für Kompromisse ist abgelaufen.