Microsoft: Über 80 Sicherheitslücken im September-Update geschlossen

Microsoft veröffentlichte diese Woche seine September-Sicherheitsupdates und schließt dabei über 80 Schwachstellen in Windows, Office, Azure und SQL Server. Das umfangreiche Paket behebt eine öffentlich bekannte Zero-Day-Lücke im Windows Server Message Block und enthält mindestens acht kritische Sicherheitslücken, die IT-Administratoren sofort patchen sollten.

Die Updates decken ein breites Spektrum an Schwachstellen ab, wobei fast die Hälfte aller Fixes Privilegien-Eskalations-Lücken betrifft. Zusätzlich werden zahlreiche Remote-Code-Execution-Schwachstellen, Informationslecks und Denial-of-Service-Probleme behoben. Obwohl Microsoft keine aktive Ausnutzung der Lücken registrierte, stuft das Unternehmen mehrere als „Exploitation More Likely“ ein – ein Warnsignal für Unternehmen.

Öffentlich bekannte SMB-Lücke im Fokus

Die prominenteste Schwachstelle des Updates ist CVE-2025-55234, eine Privilegien-Eskalations-Lücke im Windows Server Message Block Protokoll. Diese bereits vor dem Patch öffentlich bekannte Schwachstelle erreicht einen CVSS-Wert von 8.8. Angreifer können die Lücke für Relay-Attacken nutzen und dadurch erhöhte Systemrechte erlangen.

Das Problem entsteht, weil SMB-Verbindungen ohne ordnungsgemäße Authentifizierung etabliert werden können, wenn wichtige Sicherheitsmaßnahmen wie SMB-Signierung fehlen. „Die potenzielle Auswirkung ist massiv“, warnt Mike Walters, Präsident von Action1. „Praktisch alle mittelgroßen bis großen Unternehmen mit Active Directory und Windows Server-Infrastruktur könnten betroffen sein.“

Microsoft hat neue Audit-Funktionen aktiviert, um Administratoren bei der Erkennung von Kompatibilitätsproblemen vor einer vollständigen SMB-Härtung zu helfen.

Kritische Schwachstellen in NTLM und Office

Neben der Zero-Day-Lücke enthält das September-Paket Fixes für mindestens acht kritische Schwachstellen. Besonders besorgniserregend: CVE-2025-54918, eine kritische Privilegien-Eskalations-Lücke im Windows NT LAN Manager (NTLM). Diese als „Exploitation More Likely“ eingestufte Schwachstelle ermöglicht Angreifern, vollständige SYSTEM-Rechte über ein Netzwerk zu erlangen.

Ebenso kritisch sind mehrere Remote-Code-Execution-Lücken in Microsoft Office. CVE-2025-54910 kann bereits durch das Öffnen eines speziell präparierten Dokuments oder dessen Anzeige in der Outlook-Vorschau ausgelöst werden.

Die Virtualisierungsinfrastruktur bleibt nicht verschont: Drei kritische RCE-Schwachstellen in Windows Hyper-V könnten bösartigen Programmen auf Gast-VMs die Codeausführung auf dem Host-Server ermöglichen.

Drittanbieter-Schwachstelle in SQL Server

Microsoft patchte zusätzlich CVE-2024-21907, eine bereits 2024 entdeckte Schwachstelle in der Drittanbieter-Bibliothek Newtonsoft.Json, die in SQL Server verwendet wird. Die Lücke kann durch speziell gestaltete JSON-Daten zu Denial-of-Service-Angriffen führen.

„Diese Schwachstelle verdeutlicht einen kritischen, aber oft übersehenen Aspekt der Anwendungssicherheit“, erklärt Alex Vowk, CEO von Action1. Die Behebung unterstreicht die Bedeutung der Software-Supply-Chain-Sicherheit.

Trend zu mehr Privilegien-Eskalationen

Das September-Update setzt einen 2025 beobachteten Trend fort: Bereits zum dritten Mal übersteigen Privilegien-Eskalations-Schwachstellen die Anzahl der Remote-Code-Execution-Bugs. Dies zeigt, dass Angreifer konsequent nach Wegen suchen, ihren Zugriff nach einem ersten Netzwerk-Einstieg zu erweitern.

Microsoft hat 2025 bereits etwa 100 Schwachstellen mehr offengelegt als im Vorjahreszeitraum – ein Zeichen für transparenteres Schwachstellen-Management, aber auch eine Belastung für IT-Sicherheitsteams.

Handlungsempfehlungen und Ausblick

Organisationen sollten prioritär die SMB-Schwachstelle CVE-2025-55234 und die als „Exploitation More Likely“ eingestuften kritischen Lücken wie den NTLM-Bug patchen. Sicherheitsteams müssen auf Kompromittierungs-Indikatoren achten, da Exploit-Code in den kommenden Wochen entwickelt werden könnte.

Ein weiterer kritischer Termin rückt näher: Das Support-Ende für Windows 10 im Oktober 2025. Unternehmen ohne Windows 11-Migration müssen das Extended Security Updates-Programm nutzen oder riskieren ungepatcht Systeme. Die konstante Flut monatlicher Patches unterstreicht die Notwendigkeit aktueller Software und rigoroser Update-Zyklen.

Anzeige: Apropos Support-Ende für Windows 10: Planen Sie jetzt den stressfreien Wechsel auf Windows 11 – ohne Datenverlust und mit all Ihren Programmen. Ein kostenloser Report erklärt die Schritt-für-Schritt-Installation, die sichere Daten- und Programmübernahme sowie die wichtigsten Neuerungen. Jetzt den Gratis-Report „Windows 11 Komplettpaket“ sichern