Microsoft schließt über 80 Sicherheitslücken im September

Microsoft hat in seinem September-Patch-Tuesday über 80 Schwachstellen behoben – darunter mehrere kritische Lücken, die Windows-Nutzer gefährden könnten. Systemadministratoren sollten die Updates umgehend installieren.

Am 9. September 2025 veröffentlichte Microsoft seine monatlichen Sicherheitsupdates und stopfte damit Löcher in Windows, Windows Server, Azure Arc, Microsoft Edge und anderen Produkten. Acht bis neun der behobenen Schwachstellen stuft der Konzern als kritisch ein, weitere gelten als wahrscheinlich ausnutzbar.

Die Palette der geschlossenen Lücken ist breit: Remote Code Execution, Rechteausweitung, Informationslecks und Denial-of-Service-Attacken standen auf der Liste. Zwar waren zum Zeitpunkt der Veröffentlichung keine aktiven Angriffe bekannt – doch Sicherheitsexperten warnen vor mehreren besonders gefährlichen Schwachstellen.

NTLM und SMB im Visier der Angreifer

Besonders brisant ist eine kritische Schwachstelle im Windows New Technology LAN Manager (NTLM), die als CVE-2025-54918 geführt wird. Mit einem CVSS-Score von 8,8 ermöglicht sie Angreifern die Ausweitung ihrer Rechte bis auf SYSTEM-Ebene – faktisch die komplette Kontrolle über den betroffenen Rechner.

Bereits zum dritten Mal in diesem Jahr muss Microsoft eine kritische NTLM-Lücke schließen. Ähnliche Probleme wurden bereits im Januar und August behoben.

Noch dringlicher wird die Lage durch CVE-2025-55234, eine Schwachstelle im Windows Server Message Block (SMB). Diese Lücke war bereits vor der Patch-Veröffentlichung öffentlich bekannt – ein Umstand, der Cyberkriminelle oft zu schnellen Angriffen motiviert. Angreifer mit Netzwerkzugang könnten Replay-Attacken durchführen und so ihre Rechte ausweiten oder sogar Code einschleusen.

Kernel-Schwachstellen bedrohen das System-Herz

Auch das Windows-Dateisystem NTFS erhielt eine wichtige Reparatur. Die als CVE-2025-54916 katalogisierte Lücke könnte authentifizierten Angreifern die Ausführung von Code ermöglichen. Eine präparierte Datei oder ein manipuliertes Verzeichnis genügt, um einen Parsing-Fehler im Kernel-Treiber auszulösen.

Der Windows-Kernel selbst war von einem Integer-Overflow betroffen (CVE-2025-54098). Diese Schwachstelle mit CVSS-Score 8,8 erlaubt lokalen Angreifern die Manipulation des Kernel-Speichers – ein direkter Weg zu SYSTEM-Privilegien.

Weitere kritische Lücken stecken im Windows TCP/IP-Treiber (CVE-2025-54093) und in Windows Hyper-V (CVE-2025-54098). Beide könnten Angreifern höchste Systemrechte verschaffen.

Trend zur Rechteausweitung hält an

Sicherheitsanalysten beobachten einen bedenklichen Trend: Bereits zum dritten Mal 2025 übersteigt die Zahl der Rechteausweitung-Schwachstellen die der Remote-Code-Execution-Lücken. Das zeigt, wie gezielt Cyberkriminelle nach Wegen suchen, ihre anfänglich begrenzten Zugriffsrechte systematisch auszubauen.

Besonders problematisch sind die wiederkehrenden kritischen Lücken in NTLM und SMB. Diese Legacy-Protokolle sind tief in Unternehmensumgebungen verwurzelt und bieten Angreifern immer wieder neue Angriffsflächen.

Schnelles Handeln ist gefragt

IT-Sicherheitsteams sollten jetzt ihre Patch-Management-Systeme aktivieren. Die öffentliche Bekanntheit der SMB-Lücke und der wahrscheinlich ausnutzbare Status mehrerer kritischer Schwachstellen lassen keinen Aufschub zu.

Anzeige: Übrigens: Wer bei kritischen Windows-Lücken einen Notfall-Plan braucht, sollte einen startfähigen USB‑Stick parat haben. Der kostenlose Ratgeber erklärt Schritt für Schritt, wie Sie einen Windows‑11‑Boot‑Stick erstellen, damit Sie Systeme bei Ausfällen schnell starten, reparieren oder sauber neu aufsetzen können – ohne teuren Service. Ideal als „Erste Hilfe“ in Admin- und Helpdesk-Szenarien. Jetzt kostenlosen Boot‑Stick‑Guide sichern

Erfahrungsgemäß analysieren Cyberkriminelle veröffentlichte Patches binnen Tagen und entwickeln entsprechende Exploits. Das Zeitfenster für präventive Maßnahmen ist daher begrenzt.