Microsoft: 172 Sicherheitslücken in größtem Patch-Update des Jahres

Microsoft hat diese Woche eines der umfangreichsten Sicherheitsupdates des Jahres veröffentlicht – mit Fixes für 172 Schwachstellen. Besonders brisant: Mindestens zwei Zero-Day-Lücken werden bereits aktiv von Angreifern ausgenutzt. Die US-Cybersicherheitsbehörde CISA hat deshalb eine Direktive für Bundesbehörden erlassen, bestimmte Patches sofort zu installieren.

Das kritische Update-Paket kommt zeitgleich mit dem Ende des kostenlosen Supports für Windows 10. Millionen Nutzer stehen damit vor einer wichtigen Entscheidung.

Sofortige Gefahr: Aktiv ausgenutzte Zero-Days

Die größte Bedrohung geht von zwei Sicherheitslücken aus, die Cyberkriminelle bereits vor der Verfügbarkeit eines Fixes angegriffen haben. Die erste, CVE-2025-59230, ist eine kritische Schwachstelle im Windows Remote Access Connection Manager (RasMan). Diese Komponente verwaltet VPN- und Einwahlverbindungen.

Gelingt Angreifern die Ausnutzung, können sie von einem bereits kompromittierten System aus vollständige SYSTEM-Rechte erlangen – und damit die komplette Kontrolle übernehmen. Sicherheitsforscher betonen: Obwohl RasMan häufig gepatcht wird, ist dies das erste Mal, dass eine Lücke in der Komponente als Zero-Day ausgenutzt wurde.

Die zweite aktiv ausgenutzte Schwachstelle CVE-2025-24990 steckt in einem jahrzehntealten Modem-Treiber von Drittanbieter Agere (ltmdm64.sys). Microsofts ungewöhnliche Lösung: Der Treiber wird komplett aus Windows entfernt, statt gepatcht zu werden. Besonders gefährlich war diese Lücke, weil der veraltete Treiber auf allen unterstützten Windows-Versionen vorhanden war – unabhängig davon, ob entsprechende Hardware überhaupt genutzt wurde.

“Wurmfähige” Attacke auf Windows Update Service

Sicherheitsexperten warnen vor CVE-2025-59287, einer kritischen Fernausführungslücke im Windows Server Update Service (WSUS). Ausgerechnet das Tool, mit dem Unternehmen Patches in ihren Netzwerken verteilen, weist eine schwere Sicherheitslücke auf.

Die Schwachstelle erreicht fast den Maximalwert von 9,8 von 10 Punkten und kann von nicht-authentifizierten Angreifern über das Netzwerk ausgenutzt werden. Experten bezeichnen die Lücke als “wurmfähig” – ein Exploit könnte sich automatisch zwischen verwundbaren WSUS-Servern ausbreiten, ohne menschliche Interaktion. Das Resultat: weitreichende Kompromittierungen ganzer Unternehmensumgebungen.

Bisher gibt es laut Microsoft keine Anzeichen für aktive Ausnutzung, die Wahrscheinlichkeit wird aber als “hoch” eingestuft.

Über 170 Schwachstellen im gesamten Microsoft-Ökosystem

Das Oktober-Update adressiert eine beeindruckende Anzahl von Sicherheitslücken und unterstreicht die Komplexität der aktuellen Bedrohungslage. Den Großteil machen 80 Rechteerweiterungslücken aus, die Angreifern helfen, ihre Position in kompromittierten Systemen zu festigen.

Zusätzlich schließt Microsoft 31 Fernausführungslücken – oft die schwerwiegendsten, da sie Angreifern die Ausführung von Schadcode aus der Ferne ermöglichen. Weitere behobene Probleme umfassen 28 Informationslecks, 11 Umgehungen von Sicherheitsfeatures und 11 Denial-of-Service-Schwachstellen.

Bemerkenswert: Microsoft patcht auch CVE-2025-47827, eine Secure-Boot-Umgehung im Linux-basierten IGEL OS, die ebenfalls aktiv ausgenutzt wurde.

CISA-Direktive trifft auf Windows 10-Supportende

Die aktive Ausnutzung der beiden Zero-Days veranlasste CISA, beide Lücken in den Katalog bekannter ausgenutzter Schwachstellen aufzunehmen. Eine verbindliche Direktive verpflichtet US-Bundesbehörden, die notwendigen Patches bis zum 4. November 2025 zu installieren.

CISA drängt alle Organisationen im öffentlichen und privaten Sektor, diese Schwachstellen prioritär zu beheben. Das massive Update-Paket fällt zeitlich direkt mit dem Ende der kostenlosen Sicherheitsupdates für Windows 10 zusammen. Privatnutzer und Unternehmen, die ihre Windows 10-Geräte weiterhin absichern möchten, müssen sich nun für das kostenpflichtige Extended Security Updates (ESU)-Programm anmelden.

Anzeige: Passend zum Windows‑10‑Supportende: Ihr PC gilt als „inkompatibel“ für Windows 11? Es gibt einen legalen Weg, Windows 11 trotzdem zu installieren – ohne neue Hardware und ohne Datenverlust. Ein kostenloser PDF‑Report vom IT‑Experten Manfred Kratzl erklärt den Ablauf Schritt für Schritt, sodass Programme und Dateien erhalten bleiben. Jetzt die Gratis‑Anleitung sichern

Wettlauf gegen die Zeit

Mit der Veröffentlichung der Schwachstellendetails erwarten Sicherheitsexperten, dass Cyberkriminelle schnell damit beginnen werden, die Patches zu analysieren und Exploits für ungepatchte Systeme zu entwickeln. Das Zeitfenster für die Installation der kritischen Updates schrumpft rapide.

Für Windows 10-Nutzer markiert dieser Moment einen kritischen Wendepunkt: Update auf eine unterstützte Windows-Version, Zahlung für erweiterte Sicherheitsupdates oder das Eingehen des schnell wachsenden Risikos eines nicht mehr unterstützten Betriebssystems.

Die klare Empfehlung von Microsoft und Cybersicherheitsexperten: Die Oktober-Sicherheitsupdates ohne Verzögerung installieren.