Microsoft, Kritische

Microsoft: Kritische Sicherheitslücken bedrohen alle Windows-Systeme

16.10.2025 - 15:27:02

Microsofts Oktober-Update behebt über 170 Schwachstellen, darunter drei bereits aktiv ausgenutzte Zero-Day-Lücken. Die Cybersicherheitsbehörde CISA fordert Bundesbehörden zum sofortigen Patchen auf.

Microsoft schlägt Alarm: Über 170 Schwachstellen wurden im Oktober-Update geschlossen, darunter drei Zero-Day-Lücken, die bereits aktiv ausgenutzt werden. Die US-Cybersicherheitsbehörde CISA stuft die Bedrohung als so gravierend ein, dass Bundesbehörden bis Anfang November patchen müssen.

Der Rekord-Patch Tuesday bringt Administratoren weltweit unter Zeitdruck. Besonders brisant: Die entdeckten Sicherheitslücken ermöglichen Angreifern die vollständige Kontrolle über bereits gepatchte Systeme. Remote Code Execution und Privilegien-Eskalation stehen dabei im Fokus der Schwachstellen, die das gesamte Windows-Ökosystem betreffen.

Die Cybersicherheitsbehörde CISA hat die Zero-Days bereits in ihren Katalog bekannter ausgenützter Schwachstellen aufgenommen. Das bedeutet: Angreifer nutzen diese Lücken bereits aktiv für Cyberattacken gegen Unternehmen und Privatnutzer.

Legacy-Treiber wird zur Systemgefahr

Die gefährlichste Schwachstelle trägt die Bezeichnung CVE-2025-24990 und versteckt sich ausgerechnet in einem veralteten Modem-Treiber. Das Perfide daran: Der ltmdm64.sys-Treiber ist standardmäßig auf allen Windows-Versionen installiert – völlig unabhängig davon, ob überhaupt entsprechende Hardware vorhanden ist.

Microsofts drastische Lösung überrascht: Statt den Treiber zu reparieren, entfernt das Unternehmen ihn komplett aus dem System. Dustin Childs von Trend Micros Zero Day Initiative warnt eindringlich: “Da sich die verwundbaren Dateien auf allen Windows-Systemen befinden, sollten Sie dies als breit angelegten Angriff behandeln und schnell updaten.”

Der Kollateralschaden ist kalkuliert: Legacy-Faxmodems funktionieren nach dem Update nicht mehr. Für Microsoft offenbar ein akzeptabler Preis angesichts der enormen Bedrohung.

VPN-Manager wird zur Einfallspforte

Eine zweite Zero-Day-Lücke (CVE-2025-59230) betrifft den Windows Remote Access Connection Manager – kurz RasMan. Diese Komponente verwaltet VPN- und Einwahlverbindungen und enthält einen fatalen Fehler in der Zugriffskontrolle.

Angreifer können sich über diese Schwachstelle SYSTEM-Rechte verschaffen – das höchste Berechtigungslevel in Windows. Mit anfänglich geringen Nutzerrechten ausgestattet, erlangen sie so komplette Systemkontrolle.

Besonders bemerkenswert: Obwohl RasMan seit Januar 2022 über 20 Mal gepatcht wurde, ist dies die erste Schwachstelle dieser Komponente, die aktiv als Zero-Day ausgenutzt wird. Entdeckt wurde die Bedrohung von Microsofts eigenem Sicherheitsteam.

Secure Boot ausgehebelt

Die dritte ausgenutzte Schwachstelle (CVE-2025-47827) stammt ursprünglich aus dem Linux-basierten IGEL OS, betrifft aber dennoch Windows-Systeme. Angreifer können damit den Secure Boot-Prozess umgehen – eine fundamentale Sicherheitsfunktion, die verhindert, dass schädliche Software beim Systemstart geladen wird.

Warum das Windows betrifft? Microsofts UEFI-Zertifizierungsstelle hatte die verwundbare IGEL-Komponente zuvor signiert und als vertrauenswürdig eingestuft. Diese Vertrauenskette nutzen Cyberkriminelle nun aus, um die Boot-Integrität von Windows-Geräten zu untergraben.
Anzeige: Während Zero-Day-Angriffe sogar die Boot-Integrität ins Visier nehmen, sollte ein Notfall-Plan parat liegen. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie einen Windows‑11‑USB‑Boot‑Stick erstellen – um Windows sicher zu installieren, Reparaturen durchzuführen und kompromittierte Systeme im Ernstfall wieder zu starten. Ideal als Notfall-Stick für Admins und Privatanwender, leicht verständlich und schnell umgesetzt. Jetzt Gratis-Anleitung für den Windows‑11‑Boot‑Stick sichern

Zeitdruck für Administratoren

Das November-Ultimatum der CISA für Bundesbehörden sollte als Warnsignal für alle Organisationen gelten. Ransomware-Gruppen nutzen Privilegien-Eskalations-Schwachstellen bevorzugt, um nach dem ersten Einbruch tiefer in Netzwerke vorzudringen.

Zusätzliche Brisanz erhält die Situation durch eine weitere kritische Lücke (CVE-2025-59287) im Windows Server Update Service mit einem CVSS-Score von 9,8. Microsoft stuft ihre Ausnutzung als “wahrscheinlich” ein. Eine WSUS-Schwachstelle könnte Supply-Chain-Angriffe ermöglichen – Angreifer würden den Dienst kompromittieren, über den Sicherheits-Updates verteilt werden.

Die Botschaft von Microsoft und CISA ist unmissverständlich: Das Zeitfenster für präventive Maßnahmen schließt sich. Wer jetzt nicht handelt, riskiert schwerwiegende Sicherheitsvorfälle.

@ boerse-global.de