Microsoft: Über 170 Sicherheitslücken in einem Update

Microsoft patcht über 170 Sicherheitslücken, darunter zwei bereits aktiv ausgenutzte Zero-Day-Schwachstellen. IT-Administratoren müssen umgehend handeln, besonders vor dem Hintergrund des Windows 10 Support-Endes.

Ein Rekord-Patch Tuesday sorgt für Alarm bei IT-Experten. Microsoft behebt zwei aktiv ausgenutzte Zero-Day-Lücken und mahnt zur Eile.

Microsoft hat am gestrigen Patch Tuesday eine Rekordzahl von über 170 Sicherheitslücken geschlossen – darunter zwei Zero-Day-Schwachstellen, die bereits von Hackern ausgenutzt werden. Die schiere Menge der Patches und die bestätigten aktiven Angriffe zwingen IT-Administratoren zum sofortigen Handeln. Besonders brisant: Das Support-Ende für Windows 10 verschärft die Lage zusätzlich.

Die Sicherheitsupdates betreffen Windows, Office, Azure, Exchange Server und weitere Microsoft-Produkte. Im Fokus stehen kritische Schwachstellen für Remote Code Execution und Rechteausweitung, die Angreifern die vollständige Systemkontrolle ermöglichen könnten.

Zero-Day-Attacken bereits im Gange

Zwei Sicherheitslücken bereiten den Experten besonderes Kopfzerbrechen: Sie werden bereits aktiv für Cyberangriffe genutzt. Die erste Schwachstelle CVE-2025-24990 betrifft einen Agere-Modem-Treiber, der seit Jahren standardmäßig mit Windows ausgeliefert wird. Angreifer können über diese Lücke Administrator-Rechte erlangen.

Microsoft greift zu drastischen Maßnahmen: Der verwundbare Treiber wird komplett aus Windows entfernt. Das könnte ältere Hardware beeinträchtigen, die auf diesen Treiber angewiesen ist.

Die zweite Zero-Day-Lücke CVE-2025-59230 steckt im Windows Remote Access Connection Manager. Hier können bereits authentifizierte Angreifer ihre Rechte auf SYSTEM-Niveau ausweiten – und damit die komplette Kontrolle über den Computer übernehmen. Die US-Cybersicherheitsbehörde CISA hat beide Schwachstellen in ihre Liste kritischer Bedrohungen aufgenommen. Bundesbehörden müssen die Patches bis Anfang November installieren.

Kritische Fernzugriffs-Schwachstellen entdeckt

Neben den Zero-Days schließt Microsoft zahlreiche weitere kritische Lücken. Besonders gefährlich: Remote Code Execution-Schwachstellen, die Angreifern die Ausführung von Schadcode über Netzwerkverbindungen ermöglichen. Die Schwachstelle CVE-2025-59287 im Windows Server Update Service erhält die Höchstbewertung von 9,8 von 10 Punkten.

Diese Lücke könnte für Supply-Chain-Angriffe missbraucht werden. Angreifer könnten ohne Authentifizierung manipulierte Daten an WSUS-Server senden und dort Code ausführen.

Den Löwenanteil der geschlossenen Schwachstellen machen Rechteausweitung-Bugs aus: Über 80 solcher Lücken wurden gepatcht. Sie ermöglichen es Angreifern, ihre Zugriffsrechte nach einem erfolgreichen Einbruch systematisch auszuweiten.

Windows 10: Das Ende einer Ära

Das Support-Ende für Windows 10 am 14. Oktober verschärft die Sicherheitslage dramatisch. Systeme ohne Upgrade auf Windows 11 oder kostenpflichtiges Extended Security Updates-Programm erhalten keine weiteren Sicherheitsupdates mehr. Das schafft ein erhebliches Risiko für Millionen von Privatnutzern und Unternehmen.
Anzeige: Passend zum Support-Ende von Windows 10: Ihr PC gilt als „inkompatibel“ für Windows 11? Es gibt einen legalen Weg – ganz ohne neue Hardware und ohne Datenverlust. Ein kostenloser PDF-Report zeigt das Upgrade Schritt für Schritt und sorgt dafür, dass Programme und Dateien erhalten bleiben. Jetzt den Gratis-Report sichern
Erschwerend kommt hinzu: Einige der Oktober-Updates verursachen Probleme mit Smart-Card-Authentifizierung. Microsoft hat diese Änderungen zur Stärkung kryptografischer Dienste eingeführt, was die Patch-Installation in Unternehmen verkomplizieren könnte.

Countdown für ungeschützte Systeme

Die kommenden Wochen werden entscheidend. Während Organisationen fieberhaft an der Update-Verteilung arbeiten, beobachten Sicherheitsforscher aufmerksam neue Angriffswellen. Die nun öffentlich bekannten Schwachstellen könnten weitere Hacker-Aktivitäten auslösen.

Für Windows 10-Nutzer bleibt nur die Wahl zwischen Pest und Cholera: Entweder der Umstieg auf ein unterstütztes System oder das Leben mit erheblichen Sicherheitsrisiken. Microsoft wird die nächsten Wochen genau beobachten müssen – sowohl mögliche Folgeschäden der gepatchten Lücken als auch die Auswirkungen bekannter Update-Probleme wie der Smart-Card-Authentifizierung.

Weitere Artikel zum Thema

• 00:04 Uhr - Avery Dennison Aktie: Überraschung in harten
• 22.10.25 Uhr - Microsoft: Kostenpflichtige Sicherheitsupdates
• 22.10.25 Uhr - Microsoft beendet Office Online Server bis Ende
• 22.10.25 Uhr - Microsoft: KI-Revolution im Gesundheitswesen
• 22.10.25 Uhr - Nexperia: Industrie und Politik besorgt über

• 22.10.25 Uhr - Microsoft blockiert Datei-Vorschauen in Windows 11
• 22.10.25 Uhr - Microsoft: KI-Revolution für Windows 11 startet
• 22.10.25 Uhr - Deutsche nutzen Passwörter über 100 Konten
• 22.10.25 Uhr - Investor erwartet Erholung von Immobilienmarkt in
• 22.10.25 Uhr - Android-Gefahr: Zero-Click-Angriff über