Microsoft hat es veröffentlicht Oktober 2025 Patch-Dienstag Sicherheitsupdate, eine rekordverdächtige Veröffentlichung, die 175 Schwachstellen behebt. Das Replace enthält zwei aktiv ausgenutzte Zero-Day-Schwachstellen und markiert zudem das Ende der regulären Sicherheitsunterstützung für das Betriebssystem Home windows 10.
Das Volumen von 175 Frequent Vulnerabilities and Exposures (CVEs) macht diese Veröffentlichung zum größten einzelnen Patch-Tuesday-Replace, das von Sicherheitsforschern in den letzten Jahren dokumentiert wurde. Die Veröffentlichung in diesem Monat hat die Gesamtzahl der einzigartigen Schwachstellen, die das Unternehmen im Jahr 2025 gepatcht hat, auf 1.021 erhöht. Diese Zahl übertrifft die Gesamtzahl des Vorjahres von 1.009 gepatchten CVEs. Satnam Narang, ein leitender Forschungsingenieur bei Tenable, erklärte: „Da dieses Jahr noch zwei Monate verbleiben, haben wir die letztjährige Zahl von 1.009 gepatchten CVEs bereits übertroffen, während die Veröffentlichung dieses Monats uns auf 1.021 bringt.“
Narang gab an, dass dieses Replace das größte sei, seit Tenable 2017 mit der Verfolgung von Microsoft-Patch-Veröffentlichungen begann. Er stellte außerdem klar, dass diese Zählung keine außerhalb des Zyklus befindlichen Patches umfasst, die vor dem Hauptupdate veröffentlicht wurden, oder Schwachstellen, für die Microsoft nicht der designierte Herausgeber ist. Die Sammlung von Schwachstellen befasste sich mit einem breiten Spektrum von Sicherheitsproblemen, darunter Schwachstellen bei der Remotecodeausführung (RCE), Schwachstellen bei der Erhöhung von Berechtigungen (EoP), Datendiebstahl-Vektoren, Denial-of-Service-Angriffsmethoden (DoS) und Umgehungen bestehender Sicherheitsfunktionen in zahlreichen Microsoft-Produkten.
Unter den Schwachstellen befinden sich zwei Zero-Day-Schwachstellen, die von Angreifern aktiv ausgenutzt werden. Bei der ersten mit der Bezeichnung CVE-2025-59230 handelt es sich um eine Sicherheitslücke zur Rechteausweitung im Home windows Distant Entry Connection Supervisor, die einen CVSS-Wert (Frequent Vulnerability Scoring System) von 7,8 aufweist. Diese Schwachstelle ermöglicht es einem Angreifer, der sich bereits ersten Zugriff auf ein System mit geringen Privilegien verschafft hat, seinen Standing auf den eines Directors zu erhöhen. Mike Walters, Präsident und Mitbegründer von Action1, lieferte eine Analyse zum Mechanismus der Sicherheitslücke. Er schätzte, dass der Fehler damit zusammenhängt, wie der Dienst, der virtuelle non-public Netzwerke (VPN) und andere Distant-Verbindungen verwaltet, Befehle von Benutzern mit geringen Privilegien ohne ausreichende Authentifizierung verarbeitet. „Die Ausnutzung dieser Schwachstelle ist relativ einfach und macht sie sogar für Angreifer mit mäßigen technischen Fähigkeiten zugänglich“, kommentierte Walters.
Die zweite aktiv ausgenutzte Zero-Day-Infektion, CVE-2025-24990, ist ebenfalls eine Sicherheitslücke zur Erhöhung von Berechtigungen mit einem CVSS-Rating von 7,8. Dieser Fehler liegt in einem Treiber eines Drittanbieters für das Home windows Agere-Modem. Dieser spezielle Treiber ist nativ in allen unterstützten Versionen des Home windows-Betriebssystems enthalten und ist daher weit verbreitet. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Berechtigungen auf Systemebene auf einem betroffenen Laptop zu erlangen. Der Fehler ist auch dann ausnutzbar, wenn die Agere-Modem-{Hardware} zum Zeitpunkt des Angriffs nicht aktiv genutzt wird. Als Reaktion darauf hat Microsoft den Treiber durch das Replace aus dem Betriebssystem entfernt. Diese Aktion bedeutet, dass Agere-Modems, die auf diesen Treiber angewiesen sind, auf gepatchten Home windows-Systemen nicht mehr funktionieren. In seiner Empfehlung zu diesem Thema gab Microsoft eine direkte Empfehlung heraus, in der es hieß, dass Benutzer „alle vorhandenen Abhängigkeiten von dieser {Hardware} entfernen“ sollten.
Das Replace enthält auch andere Probleme mit hoher Priorität, die Sicherheitsteams beheben sollten. Eine dieser Schwachstellen ist CVE-2025-59287, ein Fehler bei der Remotecodeausführung im Home windows Server Replace Service (WSUS) mit einem CVSS-Rating von 9,8. WSUS ist die Komponente, mit der Unternehmen Softwareupdates und Patches zentral verwalten und an Laptop in ihren Netzwerken verteilen. Walters von Action1 identifizierte dies als kritisches Drawback und erklärte, dass ein erfolgreicher Exploit schwerwiegende Folgen haben könnte. Zu diesen potenziellen Folgen gehören die „vollständige Kompromittierung der Patching-Infrastruktur, die Bereitstellung bösartiger ‚Updates‘ auf verwalteten Systemen, laterale Bewegungen in der gesamten Umgebung und die Schaffung dauerhafter Hintertüren in der Replace-Infrastruktur“, sagte er. Microsoft hat CVE-2025-59287 offiziell als Schwachstelle eingestuft, die von Angreifern mit größerer Wahrscheinlichkeit ausgenutzt wird.
Ein weiterer schwerwiegender Fehler, der behoben wurde, ist CVE-2025-55315, eine Umgehung von Sicherheitsfunktionen im ASP.NET Core-Framework, die einen CVSS-Rating von 9,9 erhielt. Nach Einschätzung von Microsoft könnte diese Schwachstelle erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit eines Methods haben. Ein erfolgreicher Exploit würde einem Angreifer die Möglichkeit geben, Benutzeranmeldeinformationen einzusehen, den Inhalt von Dateien auf dem Zielserver zu ändern oder einen Systemabsturz auszulösen. Ben McCarthy, leitender Cyber-Sicherheitsingenieur bei Immersive, lieferte zusätzliche Informationen zu den Exploit-Bedingungen. „Es ist wichtig zu beachten, dass diese Schwachstelle nicht von einem anonymen Angreifer ausgenutzt werden kann; sie erfordert, dass der Bedrohungsakteur zunächst mit gültigen Benutzeranmeldeinformationen mit geringen Berechtigungen authentifiziert wird“, erklärte McCarthy in seinem Kommentar zur Patch-Veröffentlichung.
Dieser Replace-Zyklus im Oktober markiert auch offiziell das Lebensende des Betriebssystems Home windows 10. Dies bedeutet, dass Microsoft im Rahmen seines monatlichen Patch-Tuesday-Plans keine regelmäßigen Sicherheitspatches für im Betriebssystem entdeckte Schwachstellen mehr bereitstellen wird. Die Einstellung des Helps betrifft eine beträchtliche Benutzerbasis, da das Betriebssystem Home windows 10 derzeit einen Anteil von etwa 41 % am weltweiten Markt für Desktop-Home windows-Versionen hält.
Für Organisationen, die weiterhin Systeme mit Home windows 10 betreiben, ist ein spezifischer Pfad für den weiteren Assist erforderlich. Nick Carroll, Cyber Incident Response Supervisor bei Nightwing, erklärte in einer Erklärung, dass diese Unternehmen sich für das Prolonged Safety Updates (ESU)-Programm anmelden müssen, um Sicherheitspatches über dieses letzte Replace hinaus zu erhalten. Das ESU-Programm ist ein kostenpflichtiger Dienst, der Sicherheitskorrekturen für eine begrenzte Zeit nach dem offiziellen Assist-Enddatum eines Produkts bereitstellt.
Das Ende des Helps beschränkte sich nicht nur auf Home windows 10. Auch mehrere andere Microsoft-Produkte erreichten diese Woche ihren Finish-of-Life-Meilenstein. Diese Liste umfasst Change Server 2016, Change Server 2019, Skype for Enterprise 2016, Home windows 11 IoT Enterprise Model 22H2 und Outlook 2016. Diese Produkte erhalten außerdem keine regelmäßigen Sicherheitsupdates mehr. Carroll äußerte sich zu den umfassenderen Auswirkungen dieser Lebenszyklusphase auf mehrere Produkte. „All diese Produkte und mehr werden keine Sicherheitspatches mehr erhalten“, sagte er, „aber das bedeutet nicht, dass die Bedrohungsakteure aufhören werden, neue Exploits für sie zu entwickeln.“