Windows-Sicherheitslücke: CISA warnt vor aktiven Angriffen
Eine kritische Windows-SMB-Schwachstelle wird aktiv ausgenutzt, während gleichzeitig Microsofts Oktober-Updates Authentifizierungsprobleme verursachen und IT-Teams vor komplexe Sicherheitsentscheidungen stellen.
System-Administratoren stehen vor einem Dilemma: Während eine monatelang bekannte Windows-Schwachstelle nun aktiv ausgenutzt wird, sorgen Microsofts neueste Updates für eigene Probleme.
Die US-Cybersicherheitsbehörde CISA bestätigte gestern, dass Angreifer eine schwere Sicherheitslücke im Windows Server Message Block (SMB) Protokoll aktiv ausnutzen. Gleichzeitig kämpfen IT-Teams mit Authentifizierungsfehlern und defekten Wiederherstellungsumgebungen durch die Oktober-Updates von Microsoft.
Diese Kombination aus aktiv genutzter Altlast und problematischen neuen Patches schafft eine gefährliche Gemengelage für IT-Sicherheitsexperten. Die Hauptgefahr geht von der Schwachstelle CVE-2025-33073 aus – einem Fehler, der Angreifern höchste Systemrechte verschafft und komplette Kontrolle über Zielrechner ermöglicht.
CISA-Alarm: SMB-Lücke seit Monaten ungepatcht
Am 20. Oktober fügte CISA die Schwachstelle CVE-2025-33073 zu ihrem Katalog aktiv genutzter Sicherheitslücken hinzu. Das ist die offizielle Bestätigung: Cyberkriminelle nutzen diese Lücke bereits für Angriffe.
Die Schwachstelle erhielt einen kritischen CVSS-Wert von 8,8 von 10 Punkten. Sie betrifft alle Windows Server-Versionen sowie Windows 10 und 11 bis zur Version 24H2. Der Fehler liegt in der unsachgemäßen Zugriffskontrolle des Windows SMB-Clients.
So funktioniert der Angriff: Ein bereits authentifizierter Angreifer kann durch ein speziell präpariertes Skript das Opfer dazu bringen, sich mit einem bösartigen SMB-Server zu verbinden. Nach der Verbindung übernimmt der Angreifer das Protokoll und erlangt SYSTEM-Rechte – die höchste Berechtigung in Windows.
Das ermöglicht laterale Bewegungen im Netzwerk, Datendiebstahl oder die Verteilung von Ransomware.
Das Patch-Paradox: Lösung seit Juni verfügbar
Besonders brisant: Microsoft veröffentlichte bereits im Juni 2025 ein Sicherheitsupdate für CVE-2025-33073. Dass die Lücke erst jetzt massiv ausgenutzt wird, zeigt dramatische Versäumnisse in der Patch-Verwaltung vieler Organisationen.
Vier Monate ungepatcht – diese Zeitspanne erklärt, warum Angreifer nun zuschlagen können. Proof-of-Concept-Code auf GitHub hat die Hemmschwelle für Cyberkriminelle zusätzlich gesenkt.
CISA reagierte mit einer bindenden Anweisung an US-Bundesbehörden: Patches müssen bis 10. November 2025 installiert sein. Auch private Unternehmen sollen die Juni-Updates sofort einspielen.
Die Lücke ist besonders gefährlich, da sie NTLM-Reflection-Schutzmaßnahmen auf Computern ohne SMB-Signierung umgehen kann.
Oktober-Updates: Neue Patches, neue Probleme
Als wäre die SMB-Bedrohung nicht genug, verursachen Microsofts Oktober-Updates eigene Schwierigkeiten. Das Unternehmen bestätigte Authentifizierungsfehler bei Smartcards und andere zertifikatsbezogene Probleme.
Ursache: Eine Sicherheitshärtung ändert die Kryptographie-Behandlung von Windows. Das System wechselt vom älteren Cryptographic Service Provider (CSP) zum neueren Key Storage Provider (KSP) für bestimmte Zertifikate.
Ein separater Bug im Update KB5066835 vom 14. Oktober legte USB-Geräte in der Windows-Wiederherstellungsumgebung lahm. Tastatur und Maus funktionierten nicht mehr – ein Alptraum für System-Recovery.
Anzeige: Apropos System-Recovery: Wenn in der Wiederherstellungsumgebung plötzlich Tastatur und Maus streiken, hilft ein sauber erstellter Boot‑Stick, Windows schnell zu starten, zu reparieren oder neu zu installieren. Ein kostenloser Schritt‑für‑Schritt‑Ratgeber erklärt, wie Sie einen Windows‑11‑USB‑Boot‑Stick korrekt vorbereiten und im Notfall einsetzen – ideal als Notfall‑Stick in der Schublade. Jetzt kostenlosen Boot‑Stick‑Guide herunterladen
Microsoft veröffentlichte am 20. Oktober das außerplanmäßige Update KB5070773 als Notlösung. Trotzdem melden Nutzer weiterhin SMB-Verbindungsprobleme.
Schwierige Lage für IT-Administratoren
Die aktive Ausnutzung einer bereits gepatchten Schwachstelle verdeutlicht ein Grundproblem: Ein verfügbarer Patch ist nur die halbe Miete. Cyberkriminelle nutzen genau das Zeitfenster zwischen Patch-Veröffentlichung und flächendeckender Installation.
SMB bleibt ein beliebtes Angriffsziel, da es in Windows-Umgebungen allgegenwärtig für Datei- und Druckerfreigaben ist.
IT-Teams stehen vor einem Dilemma: Einerseits müssen sie schnell den Juni-Patch installieren, andererseits drohen Instabilitäten durch die Oktober-Updates. Robuste Patch-Tests vor der Verteilung werden zum Luxus, den sich viele bei aktiven Bedrohungen nicht leisten können.
Sofortmaßnahmen: Patchen und überwachen
Erste Priorität: Alle Organisationen müssen vulnerable Systeme identifizieren und die Juni-2025-Updates installieren. Nur so lässt sich die Tür für laufende Privilege-Escalation-Angriffe schließen.
Parallel sollten Administratoren das Notfall-Update KB5070773 einspielen und sich auf Smartcard-Authentifizierungsprobleme vorbereiten.
Proaktive Verteidigung geht über Patching hinaus: Netzwerke sollten auf ungewöhnliche ausgehende SMB-Verbindungen überwacht und Netzwerksegmentierung implementiert werden. SMB-Traffic sollte nur an vertrauenswürdigen Systeme weitergeleitet werden.
Die Ereignisse dieser Woche zeigen deutlich: Cybersicherheit ist ein kontinuierlicher Kreislauf aus Patching, Überwachung und Anpassung – sowohl an Angreifer als auch an die Komplexität der Software-Landschaft.
