Microsoft: Rekord-Sicherheitsupdate stopft 175 kritische Lücken

Microsoft hat diese Woche ein historisches Sicherheitsupdate veröffentlicht, das mehr als 175 Schwachstellen schließt – darunter mehrere bereits aktiv ausgenutzte Zero-Day-Lücken. Das Oktober-Update 2025 markiert zugleich das Ende einer Ära: Windows 10 erhielt seine letzten kostenlosen Sicherheitspatches.

Die schiere Anzahl der Korrekturen hat IT-Administratoren weltweit in Alarmbereitschaft versetzt. Die US-Cybersicherheitsbehörde CISA ordnete sofortige Updates für Bundesbehörden an – ein klares Signal für die Dringlichkeit der Lage.

Angreifer nutzen Zero-Day-Lücken in Windows-Kernsystemen

Besonders brisant: Mindestens drei Zero-Day-Schwachstellen wurden bereits vor der Patch-Veröffentlichung aktiv ausgenutzt. Zwei davon landeten umgehend in CISAs Katalog bekannter ausgebeuteter Schwachstellen.

CVE-2025-24990 betrifft einen jahrzehntealten Agere-Modem-Treiber, der standardmäßig mit Windows ausgeliefert wurde. Angreifer können dadurch Systemrechte erlangen und die komplette Kontrolle über betroffene Rechner übernehmen. Microsofts radikale Lösung: Der veraltete Treiber wurde komplett aus Windows entfernt.

Die zweite kritische Lücke CVE-2025-59230 steckt im Windows Remote Access Connection Manager (RasMan), der VPN- und Einwählverbindungen verwaltet. Erstmals wurde eine RasMan-Schwachstelle als Zero-Day in freier Wildbahn ausgenutzt. Bundesbehörden haben bis Anfang November Zeit, die Patches einzuspielen.

Patch Tuesday der Superlative: Bis zu 196 Korrekturen

Das Oktober-Update gehört zu den umfangreichsten in der Microsoft-Geschichte. Je nach Zählung wurden zwischen 172 und 196 CVE-Nummern vergeben. Die Patches betreffen Windows 11, Windows Server, Office, Azure und Exchange Server.

Besonders kritisch: CVE-2025-59287, eine Remote Code Execution-Lücke im Windows Server Update Service (WSUS) mit einem CVSS-Score von 9,8 von 10 Punkten. Da WSUS ein vertrauenswürdiger Dienst für Patch-Verteilung ist, könnten Angriffe einige Endpoint-Detection-Systeme umgehen.

Die Mehrheit der Schwachstellen ermöglicht Rechte-Erweiterungen (über 80), gefolgt von Remote Code Execution (über 30) und Informationslecks.

Windows 10: Das Ende einer Ära

Mit dem 14. Oktober 2025 endete offiziell die Unterstützung für Windows 10. Das aktuelle Update ist das letzte mit kostenlosen Sicherheitspatches für Verbraucher und die meisten Geschäftskunden.

Millionen Nutzer und Unternehmen stehen vor einer Grundsatzentscheidung: Migration zu Windows 11 oder kostenpflichtige Extended Security Updates (ESU) für bis zu drei weitere Jahre. Betriebssysteme ohne Sicherheitsupdates werden zur bevorzugten Zielscheibe von Cyberkriminellen.

Anzeige: Passend zur Windows‑10‑Abschaltung: Viele PCs gelten für Windows 11 als „inkompatibel“ – trotzdem gibt es einen legalen Weg zum Upgrade ohne neue Hardware. Ein kostenloser PDF‑Report zeigt Schritt für Schritt, wie Sie Windows 11 installieren, ohne Daten und Programme zu verlieren. Verständlich erklärt vom IT‑Experten Manfred Kratzl – ideal auch für Einsteiger. Jetzt Gratis‑Report herunterladen

Legacy-Code als wachsende Bedrohung

Der Fall des Agere-Modem-Treibers zeigt ein grundsätzliches Problem: Veraltete Komponenten aus den 1990er Jahren wurden vor modernen Sicherheitsstandards entwickelt. Wie Ben McCarthy von Immersive Labs erklärt, machen sie Systeme zu attraktiven Angriffszielen.

Die schiere Anzahl von fast 200 Korrekturen stellt IT-Teams vor enorme Herausforderungen. Organisationen müssen nach aktiver Ausnutzung, CVSS-Bewertung und Geschäftsrisiko priorisieren.

Sofortiges Handeln gefordert

Die Botschaft von Microsoft und Sicherheitsexperten ist eindeutig: Jetzt updaten oder zum leichten Ziel werden. CISAs Deadline vom 4. November für Bundesbehörden sollte als Richtschnur für alle Organisationen dienen.

Windows 10-Nutzer müssen schnell entscheiden: Hardware-Upgrade für Windows 11 oder ESU-Abonnement. Cyberkriminelle werden zweifellos nach ungepatchten Systemen scannen, um die in diesem historischen Patch Tuesday geschlossenen Lücken auszunutzen.