Microsoft stopft über 170 Sicherheitslücken

Microsoft hat ein umfangreiches Sicherheitsupdate veröffentlicht, das mehr als 170 Schwachstellen schließt. Darunter befinden sich zwei Zero-Day-Lücken in Windows, die bereits aktiv von Cyberkriminellen ausgenutzt werden.

Die US-Cybersicherheitsbehörde CISA hat beide Zero-Days in ihren Katalog bekannter ausgenutzer Schwachstellen aufgenommen und warnt vor der Dringlichkeit. Unternehmen sollten die Patches unverzüglich installieren.

Die beiden aktiv ausgenutzen Sicherheitslücken tragen die Kennungen CVE-2025-59230 und CVE-2025-24990. Erstere betrifft den Windows Remote Access Connection Manager (RasMan), letztere einen Agere-Modem-Treiber. Beide Schwachstellen ermöglichen eine Rechteerweiterung und erhalten einen CVSS-Score von 7,8 von 10 Punkten – das bedeutet hohe Kritikalität.

Das Oktober-Update im Rahmen des monatlichen “Patch Tuesday” war ungewöhnlich umfangreich: Insgesamt 172 Sicherheitslücken wurden geschlossen. Gleichzeitig endet der kostenlose Sicherheitssupport für Windows 10 – Nutzer müssen auf neuere Versionen wechseln oder kostenpflichtige Extended Security Updates (ESU) buchen.
Anzeige: Während der kostenlose Windows‑10‑Support ausläuft, scheitert der Umstieg oft an der Meldung „Ihr PC ist nicht kompatibel“. Dabei gibt es einen legalen, einfachen Weg zu Windows 11 – ohne neue Hardware und ohne Datenverlust. Ein kostenloser PDF‑Report erklärt das Upgrade Schritt für Schritt, leicht verständlich auch für Einsteiger. Jetzt kostenlosen Report herunterladen

CVE-2025-59230 betrifft eine Komponente für VPN- und Einwahlverbindungen. Ein Fehler in der Zugriffskontrolle ermöglicht autorisierten Angreifern, ihre Rechte auf SYSTEM-Level zu erweitern – die höchste Berechtigungsstufe in Windows. Damit erlangen sie praktisch vollständige Kontrolle über das betroffene System.

Bemerkenswert: Der RasMan-Bereich wurde seit Januar 2022 bereits über 20 Mal gepatcht. Dies ist jedoch der erste Fall einer aktiven Zero-Day-Ausnutzung. Microsofts eigene Bedrohungsanalysten entdeckten die Schwachstelle.

CVE-2025-24990 steckt in einem Agere-Modem-Treiber (ltmdm64.sys), der standardmäßig mit allen Windows-Versionen ausgeliefert wird. Diese Lücke lässt sich sogar dann ausnutzen, wenn die entsprechende Modem-Hardware gar nicht vorhanden oder aktiv ist.

Microsoft hat drastische Maßnahmen ergriffen: Statt den Legacy-Code zu reparieren, wurde der anfällige Treiber komplett entfernt. Fax-Hardware, die auf diesen spezifischen Treiber angewiesen ist, funktioniert nach dem Update nicht mehr.

CISA setzt Bundesbehörden unter Druck

Die Cybersicherheitsbehörde CISA hat beide Zero-Days in ihren KEV-Katalog aufgenommen. Das bedeutet: Alle US-Bundesbehörden müssen die Patches bis zum 4. November 2025 installieren.

Diese Anweisung gilt zwar nur für Behörden, doch CISA drängt alle Organisationen zur schnellen Behebung der Schwachstellen. Der KEV-Katalog zeigt Sicherheitslücken auf, die besonders häufig von Cyberkriminellen ausgenutzt werden.

Legacy-Code als Sicherheitsrisiko

Das umfangreiche Oktober-Update verdeutlicht die anhaltenden Bedrohungen für Windows-Umgebungen. Angreifer kombinieren oft mehrere Schwachstellen: Sie verschaffen sich zunächst Zugang – etwa über Phishing-Mails – und nutzen dann Rechteerweiterungs-Lücken wie diese Zero-Days für weitere Angriffe.

Die Ausnutzung des betagten Agere-Treibers zeigt ein grundlegendes Problem: Alter Code in modernen Betriebssystemen birgt Risiken. Alex Vovk, CEO von Action1, bezeichnete diese Schwachstelle als “gefährlich”, da sie in Legacy-Code wurzelt, der standardmäßig auf allen Windows-Systemen vorhanden ist.

Dass Microsoft eine der Zero-Days durch interne Bedrohungsanalyse entdeckte, unterstreicht die Bedeutung proaktiver Sicherheitsmaßnahmen. Dennoch zeigt die Existenz ausgenutzer Schwachstellen: Selbst mit umfangreichen Sicherheitsressourcen entstehen ständig neue Angriffspunkte.

Was Unternehmen jetzt tun sollten

Mit der öffentlichen Bekanntgabe erwarten Sicherheitsexperten, dass weitere Cyberkriminelle schnell Exploits entwickeln werden. Organisationen sollten die Oktober-Updates von Microsoft ohne Verzögerung einspielen.

Zentrale Empfehlungen:
– Sofortiges Patching: Oktober-Sicherheitsupdates für alle unterstützten Windows- und Windows-Server-Versionen installieren
– Treiber-Entfernung prüfen: Bestätigen, dass der ltmdm64.sys-Treiber entfernt wurde
– CISA-Guidance beachten: KEV-Katalog regelmäßig auf neue aktiv ausgenutzte Schwachstellen überwachen
– Mehrschichtige Verteidigung: Endpoint Detection and Response (EDR), Netzwerksegmentierung und Nutzerschulungen als umfassende Schutzstrategie

Da Angreifer immer häufiger Windows-Kernkomponenten ins Visier nehmen, bleiben zeitnahes Patch-Management und eine proaktive Sicherheitshaltung die wirksamsten Verteidigungsmaßnahmen.