Microsoft hat sein September-Update mit über 80 Sicherheitsfixes veröffentlicht. Besonders brisant: Zwei bereits öffentlich bekannte Schwachstellen erfordern sofortige Aufmerksamkeit von IT-Administratoren.

Das September-Sicherheitsupdate 2025 ist außergewöhnlich umfangreich und betrifft Windows, Microsoft Office, Azure und SQL Server. Acht bis zehn als "kritisch" eingestufte Lücken ermöglichen schwerwiegende Angriffe wie Fernausführung von Code und Rechteausweitung. Obwohl Microsoft betont, dass keine der Schwachstellen bislang aktiv ausgenutzt wurde, erhöht die öffentliche Bekanntgabe zweier Zero-Day-Lücken das Risiko erheblich.

Besonders auffällig: Über 38 Schwachstellen betreffen die Rechteausweitung, mehr als 21 ermöglichen die Fernausführung von Code. Diese Zahlen verdeutlichen die anhaltend bedrohliche Sicherheitslage im Microsoft-Ökosystem.

Öffentlich bekannte Zero-Days erfordern Sofortmaßnahmen

Die dringendste Bedrohung stellt CVE-2025-55234 dar – eine Schwachstelle im Windows Server Message Block (SMB) Protocol. Mit einem hohen CVSS-Score von 8,8 können nicht authentifizierte Angreifer Relay-Angriffe durchführen und sich Nutzerrechte erschleichen.

Betroffen sind Windows-Systeme mit SMB-Server ohne entsprechende Härtungsmaßnahmen wie SMB-Server-Signierung oder erweiterten Authentifizierungsschutz. Die öffentliche Bekanntheit dieser Lücke macht eine Ausnutzung wahrscheinlicher – Sicherheitsexperten drängen auf sofortige Updates.

Die zweite öffentlich bekannte Schwachstelle CVE-2024-21907 betrifft Newtonsoft.Json, ein beliebtes JSON-Framework für .NET in Microsoft SQL Server. Obwohl bereits vor über einem Jahr entdeckt, wird sie erst jetzt gepatcht. Angreifer können damit Anwendungen zum Absturz bringen.

Kritische Office- und Windows-Lücken ermöglichen Fernzugriff

Eine besonders gefährliche Schwachstelle bedroht Microsoft Office: CVE-2025-54910 mit einem CVSS-Score von 8,4. Dieser Heap-basierte Pufferüberlauf lässt sich durch manipulierte Office-Dokumente ausnutzen.

Alarmierend: Die Ausnutzung funktioniert auch über die Vorschaufunktion in Microsoft Outlook – Nutzer müssen die schädliche Datei gar nicht öffnen. Erfolgreiche Angriffe gewähren Fernzugriff auf das komplette System.
Anzeige: Apropos Outlook: Wer Outlook nach sicherheitsrelevanten Updates neu einrichten oder überprüfen möchte, spart Zeit und Nerven mit einer klaren Schritt-für-Schritt-Anleitung. Der kostenlose Guide zeigt die korrekte Einrichtung, typische Fehler bei Konten und Datendateien sowie praktische Zeitspar-Tipps – für Outlook 2003 bis 365. Ideal, wenn nach dem September-Update Profile neu aufgesetzt oder Probleme behoben werden müssen. Outlook-Installationsanleitung + Spezialkurs gratis sichern

Windows selbst erhielt Fixes für mehrere kritische Schwachstellen. Eine Rechteausweitung in Windows NTLM (CVE-2025-54918) könnte Angreifern SYSTEM-Level-Privilegien verschaffen. Microsoft stuft eine Ausnutzung als "wahrscheinlich" ein. Zusätzlich wurden kritische Fernausführungs-Schwachstellen in der Windows-Grafikkomponente und Hyper-V gepatcht.

Microsoft-Ökosystem flächendeckend betroffen

Das September-Update erreicht beeindruckende Dimensionen: Windows erhielt 58 Patches, Microsoft Office 17. Die Schwachstellen reichen von Betriebssystem-Kernkomponenten bis hin zu weit verbreiteten Anwendungen wie SharePoint und Entwicklertools.

Diese breite Streuung verdeutlicht die Komplexität moderner Software-Umgebungen. Protokolle wie SMB und NTLM stehen dabei wiederholt im Fokus – sowohl von Sicherheitsforschern als auch von Cyberkriminellen.

Expertenempfehlungen und Sofortmaßnahmen

Sicherheitsexperten und die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) fordern Organisationen zur prioritären Patch-Installation auf. Obwohl die Schwachstellen noch nicht als aktiv ausgenutzt gelistet sind, steigt durch die öffentliche Bekanntgabe von CVE-2025-55234 das Risiko drastisch.

Microsofts Security Response Center empfiehlt das Update als primäre Schutzmaßnahme. Für die SMB-Schwachstelle führt das Update zusätzlich erweiterte Audit-Funktionen ein. Diese helfen Administratoren, inkompatible Clients zu identifizieren, bevor strengere Sicherheitseinstellungen wie SMB-Signierung aktiviert werden.

IT-Administratoren sollten sich zunächst auf internetnahe Systeme und kritische Server konzentrieren – besonders solche mit SMB-Diensten oder der betroffenen Newtonsoft.Json-Bibliothek. Das Zeitfenster für Schutzmaßnahmen ist knapp: Cyberkriminelle werden schnell Exploits für die neu bekannt gegebenen Schwachstellen entwickeln.