Microsoft veröffentlicht Sicherheits-Updates für über 80 Schwachstellen

Microsoft schließt mit seinen September-Updates kritische Sicherheitslücken in Windows, Office und SQL Server. Besonders brisant: Zwei Zero-Day-Schwachstellen waren bereits öffentlich bekannt, bevor die Patches verfügbar wurden.

Das Redmonder Unternehmen adressierte in seinem monatlichen Patch Tuesday mehr als 80 Vulnerabilitäten across seinem Produktportfolio. Acht davon stuft Microsoft als kritisch ein, zwei waren bereits vor der Patch-Veröffentlichung öffentlich bekannt – ein Umstand, der Systemadministratoren unter Zeitdruck setzt.

Die aktuelle Update-Welle konzentriert sich hauptsächlich auf Elevation of Privilege (EoP) und Remote Code Execution (RCE) Schwachstellen. Diese Angriffsvektoren sind bei Cyberkriminellen besonders beliebt, da sie tieferen Systemzugriff ermöglichen. Obwohl Microsoft betont, dass bislang keine aktive Ausnutzung der Lücken beobachtet wurde, warnen Sicherheitsexperten vor der erhöhten Gefahr durch die öffentliche Bekanntgabe technischer Details.

Zero-Day-Lücken erfordern sofortige Reaktion

CVE-2025-55234 steht ganz oben auf der Prioritätenliste. Die Elevation of Privilege Schwachstelle im Windows Server Message Block (SMB) Protokoll erreicht einen CVSS-Score von 8.8. Ein nicht authentifizierter Angreifer könnte diese Lücke für Relay-Attacken nutzen und damit seine Systemberechtigungen erweitern.

Besonders gefährdet sind Systeme ohne SMB-Signing oder Extended Protection for Authentication (EPA) – Schutzmaßnahmen, die in vielen Unternehmensumgebungen noch nicht flächendeckend implementiert sind.

Die zweite öffentlich bekannte Schwachstelle CVE-2024-21907 betrifft eine .NET-Bibliothek in Microsoft SQL Server. Sie ermöglicht Denial-of-Service-Angriffe, die zu Dienstausfällen führen können.

NTLM-Protokoll erneut im Visier

CVE-2025-54918 markiert bereits die dritte kritische NTLM-Schwachstelle in diesem Jahr. Das unterstreicht die anhaltenden Sicherheitsprobleme des veralteten Authentifizierungsprotokolls. Mit einem CVSS-Score von 8.8 und Microsofts Einschätzung „Exploitation More Likely“ handelt es sich um eine Hochrisiko-Lücke.

Gelingt die Ausnutzung, können Angreifer SYSTEM-Rechte erlangen – die höchste Berechtigungsebene auf Windows-Systemen. Dies öffnet Tür und Tor für weitreichende Kompromittierungen ganzer Netzwerkinfrastrukturen.

Ähnlich kritisch ist CVE-2025-54916 im Windows New Technology File System (NTFS). Authentifizierte Angreifer könnten über diese Remote Code Execution Schwachstelle Schadcode ausführen.

Office-Nutzer besonders gefährdet

Microsoft Office-Anwender sollten das Update zeitnah einspielen. CVE-2025-54910 ermöglicht es Angreifern, durch manipulierte Dateien Schadcode auszuführen. Bereits das Öffnen einer präparierten Datei – oder sogar nur die Vorschau im Explorer – kann zur Kompromittierung führen.

Die Patches erstrecken sich über das gesamte Microsoft-Ökosystem: Windows Hyper-V, Graphics Component und Kernel sind ebenso betroffen. Elevation of Privilege Schwachstellen machen fast die Hälfte aller behobenen Lücken aus – ein Trend, der sich 2025 bereits mehrfach zeigte.

Zeitfenster für Patches wird immer kleiner

Die aktuelle Bedrohungslage 2025 verschärft die Situation zusätzlich. Cyberkriminelle analysieren Sicherheitsupdates mittlerweile binnen Stunden, um Exploits zu entwickeln. Frühere Zero-Day-Lücken in Komponenten wie dem Windows Common Log File System wurden bereits für Ransomware-Kampagnen missbraucht, bevor Patches flächendeckend installiert werden konnten.

„Nach der Kompromittierung eines Systems nutzen Angreifer solche Schwachstellen für die laterale Bewegung im Netzwerk“, warnt ein Sicherheitsexperte. Die Folgen reichen vom Einsatz weiterer Ransomware bis zur Installation dauerhafter Hintertüren.

Windows 10: Das Ende naht

Neben den akuten Patches droht IT-Verantwortlichen eine weitaus größere Herausforderung: Im Oktober 2025 endet der kostenlose Support für Windows 10. Millionen von Systemen werden dann ohne Sicherheitsupdates dastehen.

Zwar bietet Microsoft kostenpflichtige Extended Security Updates an, doch diese stellen nur eine Übergangslösung dar. Unternehmen sollten die Migration auf Windows 11 oder neuere Betriebssysteme als strategische Priorität behandeln – die Zeit läuft ab.

Anzeige: Windows 10 läuft im Oktober 2025 aus – wer jetzt den Wechsel plant, sollte Fehler bei der Daten- und Programmübernahme vermeiden. Der kostenlose Report „Windows 11 Komplettpaket“ zeigt Schritt für Schritt den sicheren, stressfreien Umstieg inklusive Übernahme Ihrer Programme und Dateien sowie die wichtigsten Neuerungen. Ideal für Windows‑10‑Nutzer, die ohne Risiko migrieren möchten. Jetzt den Gratis-Report „Windows 11 Komplettpaket“ sichern