Der März-Patchday 2026 präsentiert sich auf den ersten Blick etwas ruhiger als der turbulente Vormonat, doch der Schein trügt. Während Microsoft dieses Mal keine aktiv ausgenutzten Sicherheitslücken meldet, stehen IT-Administratoren dennoch vor einer Mammutaufgabe: 79 behobene Schwachstellen, darunter zwei öffentlich bekannte Zero-Day-Lücken und kritische Fehler in der Office-Suite, verlangen nach sofortiger Aufmerksamkeit.

Besonders die Kombination aus KI-Integrationen wie Microsoft Copilot und klassischen Office-Anwendungen rückt in den Fokus der Angreifer. Ein proaktives Schwachstellen-Management ist auch in diesem Monat kein optionaler Luxus, sondern die Basis für die Betriebssicherheit Ihres Unternehmens. In diesem Artikel analysieren wir die wichtigsten Updates und zeigen Ihnen, wo die größten Gefahren lauern.

Die nackten Zahlen: Eine Übersicht des März-Updates

Microsoft hat im März 2026 insgesamt 79 Sicherheitslücken geschlossen. Damit liegt die Anzahl über dem Vormonat (58), bleibt aber leicht unter dem Jahresdurchschnitt.

Verteilung nach Schweregrad

• Kritisch (Critical): 3
• Wichtig (Important): 72
• Moderat (Moderate): 4

Die Verteilung der Kategorien zeigt einen deutlichen Schwerpunkt auf der Ausweitung von Berechtigungen (46 Fälle), gefolgt von Remote-Code-Execution (18 Fälle) und der Offenlegung von Informationen (10 Fälle). Betroffen sind neben Windows 11 und Windows Server auch SQL Server, .NET und intensiv die Microsoft Office-Produkte.

Brennpunkt: Die 2 öffentlich bekannten Zero-Day-Lücken

Auch wenn laut Microsoft derzeit keine aktive Ausnutzung in freier Wildbahn („in the wild“) beobachtet wurde, stellt die öffentliche Bekanntheit dieser Lücken ein erhöhtes Risiko dar. Sobald Details bekannt sind, ist die Entwicklung von Exploits meist nur eine Frage von Stunden.

CVE-2026-21262 – SQL Server Elevation of Privilege Vulnerability

„Fehlerhafte Zugriffskontrollen in Datenbankstrukturen können einfache Benutzer in Administratoren verwandeln und die Integrität des gesamten Datenschatzes gefährden.“

Diese Schwachstelle betrifft den Microsoft SQL Server und ermöglicht es einem bereits authentifizierten Angreifer, seine Berechtigungen über das Netzwerk auf das Niveau eines SQL-Admins anzuheben. Die Lücke wurde durch eine Veröffentlichung über Berechtigungen in gespeicherten Prozeduren bekannt.

CVSS-Score: 7.8 SCHWERWIEGENDHEIT: Wichtig BEDROHUNG: Erhöhung von Berechtigungen

EXPLOITS: Die Details zur Schwachstelle wurden öffentlich dokumentiert. Es gibt jedoch noch keine Berichte über massenhafte Ausnutzung durch Cyberkriminelle.

TECHNISCHE ZUSAMMENFASSUNG: Die Sicherheitslücke resultiert aus einer unzureichenden Prüfung der Zugriffsberechtigungen innerhalb des SQL Servers. Ein Angreifer mit minimalen Rechten kann diese Logikfehler ausnutzen, um administrative Rollen zu übernehmen. Da SQL Server oft das Herzstück der Unternehmensdaten bilden, ist das Schadenspotenzial enorm.

AUSWIRKUNGEN AUF DAS GESCHÄFT: Eine Kompromittierung des SQL-Admins bedeutet den vollen Zugriff auf alle gespeicherten Daten, die Möglichkeit zur Datenmanipulation oder zum Diebstahl sensibler Kundendaten. Dies kann zu massiven Compliance-Verstößen und Betriebsunterbrechungen führen.

CVE-2026-26127 – .NET Denial of Service Vulnerability

„Ein einziger präparierter Lesezugriff kann .NET-Anwendungen in die Knie zwingen und kritische Dienste weltweit zum Stillstand bringen.“

Eine öffentlich bekannte Schwachstelle in .NET ermöglicht es Angreifern, einen Denial-of-Service-Zustand (DoS) herbeizuführen. Durch einen „Out-of-bounds read“ kann die Anwendung zum Absturz gebracht werden.

CVSS-Score: 7.5 SCHWERWIEGENDHEIT: Wichtig BEDROHUNG: Denial of Service

TECHNISCHE ZUSAMMENFASSUNG: Ein Angreifer kann über das Netzwerk speziell geformte Daten an eine .NET-Anwendung senden. Da die Anwendung versucht, außerhalb des zugewiesenen Speicherbereichs zu lesen, kommt es zum Programmabbruch. Da viele Webdienste auf .NET basieren, ist die Reichweite dieser Lücke groß.

Fokus: Office & Copilot – Die neuen Angriffsvektoren

In diesem Monat sollten Administratoren ein besonderes Augenmerk auf Microsoft Office legen. Hier wurden kritische Lücken geschlossen, die besonders heimtückisch sind.

CVE-2026-26144 – Microsoft Excel Information Disclosure Vulnerability

„Wenn die KI zum unfreiwilligen Spion wird: Eine Lücke in Excel erlaubt es dem Copilot, sensible Daten ohne Wissen des Nutzers nach außen zu tragen.“

Diese als kritisch eingestufte Schwachstelle ermöglicht die Offenlegung von Informationen. Das Besondere: Angreifer können den „Copilot Agent Mode“ dazu bringen, Daten über das Netzwerk zu exfiltrieren, ohne dass der Benutzer interagieren muss (Zero-Click).

CVSS-Score: 7.5 SCHWERWIEGENDHEIT: Kritisch BEDROHUNG: Offenlegung von Informationen

DRINGLICHKEIT: Aufgrund des „Zero-Click“-Potenzials und der Integration moderner KI-Funktionen ist dieses Update für alle Unternehmen, die Microsoft 365 nutzen, von höchster Priorität.

CVE-2026-26110 & CVE-2026-26113 – Microsoft Office RCE

Diese beiden Lücken ermöglichen die Ausführung von beliebigem Code (Remote Code Execution). Besonders gefährlich: Die Ausnutzung kann bereits über die Vorschau-Funktion (Preview Pane) in Outlook oder dem Explorer erfolgen. Ein einfaches Betrachten einer Datei reicht somit aus, um das System zu infizieren.

Die Sicherheitsupdates vom Patch Tuesday März 2026

Der Beitrag 2026-03 Patchday erschien zuerst auf Grams IT - Blog.

Der Patchday ist der kritischste Tag im Monat für jede IT-Abteilung. Doch der Microsoft Patchday Oktober 2025 stellt eine besondere Herausforderung dar. Er markiert nicht nur das Ende des Supports für zentrale Produkte wie Windows 10 und Exchange Server 2016/2019, sondern bringt auch eine alarmierend hohe Anzahl an dringend zu schließenden Sicherheitslücken mit sich.

Dieser Artikel liefert Ihnen als IT-Verantwortlichen oder Sicherheitsspezialisten die vollständige, tiefgehende Analyse aller veröffentlichten Sicherheitsupdates. Wir schlüsseln die Bedrohungen auf, nennen die kritischsten Zero-Day-Schwachstellen und geben Ihnen eine klare Handlungsanweisung, um Ihre Infrastruktur schnellstmöglich zu härten.

Lesen Sie jetzt, welche kritische Sicherheitslücken Sie sofort priorisieren müssen und wie Sie die bevorstehenden End-of-Support-Meilensteine sicher managen.

Die Zahlen der Bedrohung: 6 Zero-Days und 172 Schwachstellen

Der Umfang der Korrekturen in diesem Monat unterstreicht die Notwendigkeit eines robusten Patch Management. Insgesamt adressiert Microsoft 172 Schwachstellen. Diese hohe Zahl ist besorgniserregend und erfordert eine präzise Priorisierung der Updates.

Die Anzahl der Fehler in jeder Schwachstellenkategorie ist unten aufgeführt:

80 Schwachstellen durch Erhöhung der Berechtigung (Elevation of Privilege)
11 Anfälligkeiten für die Umgehung von Sicherheitsfunktionen
31 Schwachstellen durch Remotecode-Ausführung
28 Schwachstellen in Bezug auf die Offenlegung von Informationen
11 Denial-of-Service-Schwachstellen
10 Spoofing-Schwachstellen

Aufschlüsselung der Schweregrade

Um den Überblick zu behalten, ist es entscheidend, die Lücken nach ihrem Schweregrad zu klassifizieren.

• Kritisch (Critical): Mehrere Schwachstellen wurden als Kritisch eingestuft. Dies bedeutet, dass sie ohne Benutzerinteraktion oder mit minimalen Berechtigungen zur vollständigen Kompromittierung des Systems führen können, oft durch Remote Code Execution (RCE).
• Wichtig (Important): Der Großteil der CVE-Nummern fällt in diese Kategorie. Diese Lücken können zu erhöhten Privilegien, Denial of Service (DoS) oder Informationslecks führen.
• Niedrig/Mittel: Diese sind ebenfalls zu beheben, stellen aber keine unmittelbare, akute Bedrohung dar.

Top-Priorität: Die 6 Zero-Day-Schwachstellen

Das größte Risiko geht von den Schwachstellen aus, die bereits aktiv von Angreifern ausgenutzt werden – den sogenannten Zero-Day-Schwachstellen. Der Oktober-Patchday beseitigt sechs solcher Lücken. Dies ist ein extrem hoher Wert und signalisiert eine erhöhte Angriffsaktivität, die sofortige Reaktion erfordert.

Was sind Zero-Days? Zero-Day-Lücken sind Fehler in der Software, die der Hersteller (Microsoft) gerade erst kennt oder für die noch kein Patch existiert, die aber bereits in freier Wildbahn für Angriffe genutzt werden. Die sofortige Installation der Sicherheitsupdates hat hier absolute Priorität.

CVE-2025-59230: Sicherheitslücke durch Rechteausweitung im Windows Remote Access Connection Manager

Die erste Zero-Day-Sicherheitslücke ist eine Schwachstelle im Windows Remote Access Connection Manager (RACMAN)-Dienst, der VPN- und Fernzugriffsverbindungen verwaltet. Durch unsachgemäße Zugriffskontrollen (CWE-284) kann ein authentifizierter Benutzer mit geringen Berechtigungen seine Rechte auf SYSTEM ausweiten.

Das Problem scheint darauf zurückzuführen zu sein, dass der RACMAN-Dienst Befehle von Benutzern mit geringeren Berechtigungen validiert und verarbeitet, ohne die Autorisierung vor der Ausführung privilegierter Vorgänge ordnungsgemäß zu überprüfen.

Wichtige Kennzahlen

• Angriffsvektor: Lokal (AV:L)
• Komplexität des Angriffs: Gering (AC:L)
• Erforderliche Berechtigungen: Gering (PR:L)
• Basisbewertung: 7,8 (Hoch)
• Zeitliche Bewertung: 7,2 (hoch)

Ausnutzungsstatus

• In freier Wildbahn: Ja, eine Ausnutzung wurde festgestellt.
• Proof of Concept: Es gibt einen funktionsfähigen Exploit, der jedoch möglicherweise nicht öffentlich verfügbar ist.

Betroffene Systeme

• Windows 10- und Windows 11-Workstations
• Windows Server 2016, 2019 und 2022

Warum dies gefährlich ist

1. SYSTEM-Berechtigungen gewähren die vollständige Kontrolle über das kompromittierte System.

2. Die Schwachstelle kann in Angriffsketten genutzt werden, um:

• Berechtigungen nach dem ersten Zugriff durch Phishing oder andere Eintrittsvektoren zu eskalieren
• Nach anderen Exploits Persistenz herzustellen
• Die Benutzerkontensteuerung (UAC) zu umgehen (UAC)
• Unterstützung komplexerer Angriffe auf Domänencontroller in Kombination mit lateraler Bewegung

3. Die geringe Komplexität der Ausnutzung macht sie für Angreifer mit mittleren Fähigkeiten zugänglich.

Risikofaktoren für Unternehmen Viele Unternehmen sind weiterhin gefährdet, da Remotezugriffsdienste weit verbreitet sind und Windows nach wie vor die Unternehmensumgebungen dominiert. Die aktive Ausnutzung erhöht die Dringlichkeit, schnell Patches zu installieren. In großen Umgebungen oder solchen mit langsameren Patch-Zyklen kann die Gefährdung auch nach der Veröffentlichung von Korrekturen bestehen bleiben.

Was diesen Zero-Day-Exploit für Angreifer besonders attraktiv macht, ist seine Zuverlässigkeit und das hochwertige Ergebnis – konsistenter Zugriff auf SYSTEM-Ebene ohne komplexe Voraussetzungen.

CVE-2025-24990: Windows Agere Modemtreiber – Sicherheitslücke durch Rechteausweitung

Ein weiterer Zero-Day-Exploit betrifft den Agere-Modemtreiber (ltmdm64.sys), der standardmäßig mit Windows-Betriebssystemen ausgeliefert wird. Die Schwachstelle ist eine nicht vertrauenswürdige Pointer-Dereferenzierung (CWE-822), die auftritt, wenn der Treiber die vom Benutzer bereitgestellten Zeiger nicht ordnungsgemäß validiert, bevor er sie im Kernel-Modus dereferenziert. Dieser Fehler ermöglicht es Angreifern, Speicherstrukturen mit Kernel-Rechten zu manipulieren.

Das Problem ist besonders besorgniserregend, da es in einem Legacy-Hardware-Support-Code vorhanden ist, der standardmäßig auf Windows-Systemen installiert ist, selbst wenn die zugehörige Hardware nicht vorhanden ist oder nicht verwendet wird.

Wichtige Kennzahlen

• Angriffsvektor: Lokal (AV:L)
• Komplexität des Angriffs: Gering (AC:L)
• Erforderliche Berechtigungen: Gering (PR:L)
• Basisbewertung: 7,8 (Hoch)
• Zeitliche Bewertung: 7,2 (Hoch)

Ausnutzungsstatus

• In freier Wildbahn: Ja, aktive Ausnutzung festgestellt
• Proof of Concept: Es existiert ein funktionierender Exploit
• Öffentliche Bekanntgabe: Keine vor dem Sicherheitsbulletin

Betroffene Systeme

• Alle unterstützten Windows-Desktop- und Server-Versionen
• Systeme mit oder ohne Agere-Modem-Hardware

Warum dies gefährlich ist

1. Da die Schwachstelle im Kernel-Modus auftritt, können Angreifer die höchsten Berechtigungen erlangen, was Folgendes ermöglicht:

• Vollständige Kompromittierung des Systems
• Zugriff auf geschützte Systemressourcen
• Deaktivierung von Sicherheitskontrollen
• Installation von persistenten Backdoors

2. In fortgeschrittenen Angriffsketten könnte sie genutzt werden, um:

• Anwendungs-Sandboxes zu umgehen
• Nach der ersten Kompromittierung Persistenz aufrechtzuerhalten
• Zusätzliche Malware mit Systemrechten zu installieren
• Sich lateral innerhalb von Unternehmensnetzwerken zu bewegen
• Sicherheits-Tools auf dem betroffenen System zu manipulieren

3. Das Risiko wird verstärkt, weil:

• Die Ausnutzung nicht von der tatsächlichen Hardware abhängt
• Microsoft sich dafür entschieden hat, den anfälligen Treiber vollständig zu entfernen, anstatt ihn zu patchen
• Die Ausnutzung wenig komplex ist

Auswirkungen auf Unternehmen Das potenzielle Risiko ist groß, da der anfällige Treiber standardmäßig in den meisten Windows-Installationen vorhanden ist. Unternehmen mit älteren Systemen, die auf Agere-Modemhardware angewiesen sind, stehen vor einer zusätzlichen Herausforderung, da die Hardware nach dem kumulativen Update im Oktober nicht mehr funktionieren wird.

Aktive Ausnutzung bestätigt, dass Angreifer diesen Zero-Day bereits nutzen. Die Entscheidung von Microsoft, den Treiber zu entfernen, anstatt ihn zu patchen, deutet darauf hin, dass der Fehler tief in seinem Design verwurzelt ist und nicht behoben werden kann, ohne die Funktionalität zu beeinträchtigen. Dies erhöht sowohl die Sicherheits- als auch die Betriebsrisiken für betroffene Umgebungen.

CVE-2025-24052: Windows Agere Modemtreiber – Sicherheitslücke durch Rechteausweitung

Dieser Zero-Day betrifft den Agere-Modemtreiber (ltmdm64.sys), der standardmäßig mit Windows ausgeliefert wird. Es handelt sich um einen stapelbasierten Pufferüberlauf (CWE-121), der durch eine unsachgemäße Validierung der Eingabepuffergrößen vor dem Kopieren von Daten in einen Stapelpuffer mit fester Größe verursacht wird. Die daraus resultierende Speicherbeschädigung kann zur Ausführung von Code auf Kernel-Ebene und zur Ausweitung von Berechtigungen führen.

Der Fehler befindet sich in einem veralteten Treibercode, der auch dann auf modernen Systemen installiert bleibt, wenn die entsprechende Hardware nicht vorhanden ist. Dadurch erhöht sich das Risiko für viele Geräte.

Wichtige Kennzahlen

• Angriffsvektor: Lokal (AV:L)
• Komplexität des Angriffs: Gering (AC:L)
• Erforderliche Berechtigungen: Gering (PR:L)
• Basisbewertung: 7,8 (Hoch)
• Zeitliche Bewertung: 7,0 (hoch)

Ausnutzungsstatus

• In freier Wildbahn: Keine bestätigte Ausnutzung festgestellt
• Proof of Concept: Es gibt einen PoC, der jedoch möglicherweise noch nicht vollständig einsatzbereit ist
• Öffentliche Bekanntgabe: Ja, die Schwachstelle wurde öffentlich bekannt gegeben

Betroffene Systeme

• Alle unterstützten Windows-Desktop-Versionen (Windows 10, Windows 11)
• Alle unterstützten Windows Server-Versionen
• Systeme mit oder ohne physische Agere-Modem-Hardware

Warum dies schwerwiegend ist

1. Als Kernel-Mode-Fehler kann eine erfolgreiche Ausnutzung die Ausführung von beliebigem Code auf der höchsten Privilegienebene ermöglichen, wodurch das gesamte System kompromittiert und dauerhaft beeinträchtigt werden kann.
2. In komplexen Angriffsketten kann dies für die Eskalation von Privilegien nach der Kompromittierung, das Entkommen aus der Sandbox, laterale Bewegungen und die Untergrabung von Sicherheitstools, die auf Kernel-Komponenten basieren, genutzt werden.
3. Der stapelbasierte Überlauf kann die Ausführung von Shellcode, die Beschädigung von Kernel-Datenstrukturen und die Kontrolle des Programmablaufs ermöglichen.

Auswirkungen auf den Betrieb Microsoft hat den Treiber entfernt, anstatt ihn zu patchen, wodurch die Schwachstelle beseitigt wird, aber Kompatibilitätsprobleme für Unternehmen entstehen, die weiterhin auf Agere-Modem-Hardware angewiesen sind. Die Einschätzung von Microsoft, dass eine Ausnutzung „sehr wahrscheinlich“ ist, sowie die öffentliche Bekanntgabe und ein verfügbarer PoC bedeuten, dass das Zeitfenster für die Ausnutzung der Schwachstelle immer kleiner wird, auch wenn bisher keine aktive Ausnutzung bestätigt wurde.

CVE-2025-0033: AMD RMP-Beschädigung während der SNP-Initialisierung

Eine weitere Zero-Day-Sicherheitslücke, die am Tag vor dem Patch Tuesday bekannt wurde, ist eine kritische Schwachstelle in AMD EPYC-Prozessoren, die die Secure Encrypted Virtualization – Secure Nested Paging (SEV-SNP)-Technologie implementieren. Der Fehler resultiert aus einer Race Condition während der Initialisierung der Reverse Map Table (RMP), einer wichtigen SEV-SNP-Struktur, die die Eigentumsverhältnisse und Berechtigungen von physischen Speicherseiten verfolgt.

Während des SNP-Initialisierungsprozesses gibt es ein Zeitfenster, in dem RMP-Einträge konfiguriert, aber noch nicht gesperrt sind. Ein privilegierter Angreifer könnte diese Lücke ausnutzen, um RMP-Einträge zu ändern, wodurch ein kompromittierter Hypervisor möglicherweise die Sicherheitsattribute von Speicherseiten ändern könnte, die vertraulichen virtuellen Maschinen (VMs) zugewiesen sind, wodurch die Sicherheitsgarantien von SEV-SNP untergraben würden.

Wichtige Kennzahlen

• Angriffsvektor: Lokal (AV:L)
• Komplexität des Angriffs: Gering (AC:L)
• Erforderliche Privilegien: Hoch (PR:H)
• Basisbewertung: 8,2 (Hoch)
• Zeitliche Bewertung: 7,1 (Hoch)

Ausnutzungsstatus

• In freier Wildbahn: Keine bekannte Ausnutzung
• Proof of Concept: Kein öffentlicher Exploit verfügbar (Reife des Exploit-Codes: Unbewiesen)
• Öffentliche Bekanntgabe: Ja, bekannt gegeben von AMD am 13. Oktober 2025

Betroffene Systeme

• AMD EPYC-Prozessoren mit SEV-SNP-Fähigkeit
• Virtualisierungsumgebungen, die AMD SEV-SNP für vertrauliche Datenverarbeitung verwenden
• Cloud-Plattformen, die AMD-basierte vertrauliche Datenverarbeitungsdienste anbieten
• Lokale Private Clouds, auf denen SEV-SNP-fähige Hardware ausgeführt wird

Warum dies wichtig ist

1. Die Schwachstelle untergräbt die zentralen Sicherheitsgrenzen der vertraulichen Datenverarbeitung, indem sie:

• die hardwaregestützte Isolation zwischen Hypervisor und Gast-VMs aufhebt
• die Änderung des geschützten VM-Speichers ermöglicht
• möglicherweise die Beglaubigungsmechanismen in SEV-SNP-Umgebungen beeinträchtigt

2. Bei fortgeschrittenen Angriffen könnte dies Folgendes ermöglichen:

• Umgehung der SEV-SNP-Verschlüsselung und Isolationsschutzmaßnahmen
• Manipulation von Speicherinhalten in vertraulichen VMs
• Einschleusen von bösartigem Code in geschützte Workloads
• Erleichterung von Seitenkanalangriffen

3. Dies könnte auch mit folgenden Faktoren kombiniert werden:

• Schwachstellen bei der Eskalation von Hypervisor-Rechten
• Andere Schwachstellen von AMD-Prozessoren
• Supply-Chain-Angriffe auf vertrauliche Computing-Infrastrukturen

Auswirkungen und Risiken Nur eine kleine Anzahl von Organisationen betreibt SEV-SNP-fähige Systeme, in der Regel große Cloud-Anbieter, Regierungsbehörden, Finanzinstitute und Gesundheitsorganisationen, die mit hochsensiblen Daten umgehen. Die Ausnutzung dieser Schwachstelle ist aufgrund der erforderlichen Zugriffsrechte auf Hypervisor-Ebene und der erforderlichen tiefgreifenden technischen Kenntnisse über SEV-SNP begrenzt.

Große Cloud-Anbieter wie Microsoft Azure mindern dieses Risiko durch strenge administrative Kontrollen, mehrschichtige Abwehrmaßnahmen und kontinuierliche Integritätsüberwachung. Die Schwachstelle ist zwar schwerwiegend, eine praktische Ausnutzung ist jedoch für die meisten Umgebungen unwahrscheinlich. Bei gezielten Angriffen auf hochwertige vertrauliche Computersysteme bleibt sie jedoch ein erhebliches Problem, das eine umgehende Installation von Patches erfordert, sobald Updates verfügbar sind.

CVE-2025-59287: Schwachstelle in Windows Server Update Service (WSUS) ermöglicht Remote-Code-Ausführung

Dies ist eine kritische Sicherheitslücke in Windows Server Update Services (WSUS), einem Kernbestandteil der Patch-Infrastruktur von Microsoft für Unternehmen. Es handelt sich um ein Problem der Deserialisierung nicht vertrauenswürdiger Daten (CWE-502), das es WSUS ermöglicht, von Angreifern kontrollierte Objekte ohne ausreichende Validierung zu deserialisieren, was zur Remote-Codeausführung im Kontext des WSUS-Dienstes führen kann.

Die Ursache scheint ein unsicherer älterer Serialisierungsmechanismus zu sein, der eingehende Netzwerkereignisse verarbeitet. WSUS validiert Objekttypen vor der Deserialisierung nicht, sodass ein Angreifer bösartige serialisierte Objekte bereitstellen kann, die bei der Deserialisierung Code ausführen. Der Dienst wird in der Regel mit SYSTEM-Rechten ausgeführt, sodass bei erfolgreicher Ausnutzung Code mit hohen Rechten ausgeführt werden kann.

Wichtige Kennzahlen

• Angriffsvektor: Netzwerk (AV:N)
• Komplexität des Angriffs: Gering (AC:L)
• Erforderliche Berechtigungen: Keine (PR:N)
• Basisbewertung: 9,8 (kritisch)
• Zeitliche Bewertung: 8,5 (hoch)

Ausnutzungsstatus

• In freier Wildbahn: Zum Zeitpunkt der Offenlegung sind keine Ausnutzungen bekannt.
• Proof of Concept: Kein öffentlicher Exploit verfügbar (Reife des Exploit-Codes: unbewiesen)
• Öffentliche Bekanntgabe: Keine öffentliche Bekanntgabe vor Veröffentlichung des Patches

Betroffene Systeme

• Windows-Server, auf denen WSUS ausgeführt wird
• Systeme, die in Unternehmensumgebungen als WSUS-Server konfiguriert sind
• Alle unterstützten Windows Server-Versionen, auf denen die WSUS-Rolle installiert ist
• Sowohl dedizierte WSUS-Server als auch Mehrzweckserver, auf denen WSUS ausgeführt wird

Warum dies gefährlich ist

1. WSUS wird normalerweise mit SYSTEM-Rechten ausgeführt, sodass der Angreifer durch die Ausnutzung die höchsten lokalen Rechte erhält.
2. WSUS-Server verfügen in der Regel über Netzwerkverbindungen zu vielen Endpunkten und können bei falscher Konfiguration über das Internet zugänglich sein.
3. Eine erfolgreiche Ausnutzung könnte es einem Angreifer ermöglichen, bösartige Updates auf verwalteten Systemen zu installieren, was zu einer weitreichenden Kompromittierung und dauerhaften Hintertüren führen könnte.
4. Als Teil einer Angriffskette könnte dies mit anderen Schwachstellen in der Infrastruktur oder Supply-Chain-Techniken kombiniert werden, um die Auswirkungen zu verstärken.

Auswirkungen auf Unternehmen

• Viele mittlere bis große Unternehmen verlassen sich bei der Patch-Verwaltung auf WSUS; einigen Schätzungen zufolge liegt die Nutzungsrate in diesen Segmenten bei 70 bis 80 Prozent.
• Unternehmen mit mehreren WSUS-Servern oder segmentierten Netzwerken sind einem erhöhten Risiko ausgesetzt.
• Kritische Infrastrukturen, Behörden, Finanzinstitute und Einrichtungen des Gesundheitswesens verwenden häufig WSUS, was das Potenzial für schwerwiegende Folgen erhöht.
• Die Wiederherstellung nach einer Kompromittierung der Update-Infrastruktur kann die Wiederherstellung des Vertrauens in der gesamten Umgebung und die Wiederherstellung der Update-Pipeline erfordern.

Die Einschätzung von Microsoft, dass eine Ausnutzung „sehr wahrscheinlich“ ist, sowie der ferngesteuerte, nicht authentifizierte Angriffsvektor und die geringe Komplexität machen dies zu einem Problem mit hoher Priorität für betroffene Unternehmen.

Das Ende einer Ära: Windows 10 Support-Ende

Der Microsoft Patchday Oktober 2025 ist für Millionen von Unternehmen und Privatnutzern ein historischer Meilenstein. Ab diesem Zeitpunkt erhält Windows 10 keine kostenlosen, regulären Sicherheitsupdates mehr.

Der allerletzte Patchday für die meisten Nutzer

Mit dem Oktober-Update wird der offizielle Support für Windows 10 für alle nicht berechtigten oder nicht zahlenden Kunden eingestellt. Das bedeutet:

1. Keine neuen Sicherheitskorrekturen: Alle nach diesem Datum entdeckten Schwachstellen, einschließlich neuer Zero-Days, werden nicht mehr kostenlos von Microsoft behoben.
2. Erhöhtes Risiko: Geräte, die mit dem Internet verbunden sind und Windows 10 ohne Extended Security Updates (ESU) nutzen, werden schnell zu einfachen Zielen für Cyberkriminelle.
3. Compliance-Probleme: Viele regulatorische Standards (wie DSGVO oder HIPAA) erfordern den Betrieb unterstützter Software, was mit dem Windows 10 Support-Ende nicht mehr gegeben ist.

Migration: Optionen und Risiken

Wenn Sie noch Windows 10 in Ihrer Umgebung nutzen, haben Sie nun drei Optionen:

• Option 1: Migration zu Windows 11: Dies ist der empfohlene Pfad. Nutzen Sie diesen Patchday als letzten Anstoß für die Planung und den Rollout von Windows 11.
• Option 2: Extended Security Updates (ESU): Für Organisationen, die nicht rechtzeitig migrieren können, bietet Microsoft kostenpflichtige ESU-Lizenzen an. Diese stellen Sicherheitsupdates für einen begrenzten Zeitraum bereit, sind aber keine langfristige Lösung.
• Option 3: Risiko akzeptieren (nicht empfohlen): Das Gerät wird im Grunde zu einer „Zeitbombe“ in Ihrem Netzwerk. Dies sollte unter allen Umständen vermieden werden.

Abschied von Exchange: End of Support für 2016 und 2019

Parallel zum Windows 10 Support-Ende erreichen auch Microsoft Exchange Server 2016 und 2019 das Ende ihres Mainstream-Supports. Während es für Exchange 2016 und 2019 Übergangsfristen für den Extended Support geben mag, ist die Botschaft klar: Die Migration auf eine aktuellere Version oder in die Cloud (Exchange Online) muss beschleunigt werden.

Welche Risiken bestehen jetzt?

Exchange Server sind historisch gesehen die kritischsten, oft angegriffenen On-Premise-Komponenten in Unternehmensnetzwerken.

• Angriffsziel Nummer 1: Ungesicherte Exchange Server sind die primären Angriffsvektoren für Ransomware und Datenexfiltration.
• Keine neuen Features/Fixes: Nach dem EoS wird es schwieriger, nicht sicherheitsrelevante Probleme zu beheben, und die Plattform veraltet in Bezug auf moderne Sicherheitsstandards.

Die notwendigen Migrationspfade

Für alle, die noch Exchange Server End of Support-Versionen betreiben, ist die einzige sichere Strategie die Migration:

1. Empfohlen: Wechsel zu Exchange Online (Microsoft 365): Dies bietet die höchste Sicherheit und Verfügbarkeit, da Microsoft das Patch Management übernimmt.
2. On-Premise Upgrade auf Exchange 2023/2024: Halten Sie Ihre Infrastruktur auf dem neuesten Stand. Achten Sie auf die neuesten Systemanforderungen und Architekturänderungen.

Die Oktober 2025 Patch Tuesday Sicherheitsupdates

Nachfolgend finden Sie die vollständige Liste der behobenen Sicherheitslücken in den Patch Tuesday-Updates vom Oktober 2025.

Der Beitrag 2025-10 Patchday erschien zuerst auf Grams IT - Blog.

Quelle: microsoft.com

Microsofts Patchday im Februar 2025, der Sicherheitsupdates für 55 Schwachstellen enthält, darunter 4 Zero-Day-Schwachstellen, von denen 2 bei Angriffen aktiv ausgenutzt werden

Dieser Patch Tuesday behebt außerdem drei „kritische“ Sicherheitslücken, allesamt Sicherheitslücken bei der Ausführung von Remote-Code.

Die Anzahl der Fehler in jeder Sicherheitslücken-Kategorie ist unten aufgeführt:

• 19 Sicherheitslücken bei der Erhöhung von Berechtigungen
• 2 Sicherheitslücken bei der Umgehung von Sicherheitsfunktionen
• 22 Sicherheitslücken bei der Ausführung von Remote-Code
• 1 Sicherheitslücken bei der Offenlegung von Informationen
• 9 Sicherheitslücken bei der Dienstverweigerung
• 3 Sicherheitslücken bei der Täuschung

In den oben genannten Zahlen sind ein kritischer Fehler bei Microsoft Dynamics 365 Sales, der eine Erhöhung der Berechtigungen ermöglicht, und 10 Microsoft Edge-Schwachstellen, die am 6. Februar behoben wurden, nicht enthalten.

Zwei aktiv ausgenutzte Zero-Day-Schwachstellen bekannt gemacht

Der diesmonatige Patch Tuesday behebt zwei aktiv ausgenutzte und zwei öffentlich bekannt gemachte Zero-Day-Schwachstellen.

Microsoft stuft eine Zero-Day-Schwachstelle als eine solche ein, die öffentlich bekannt gemacht oder aktiv ausgenutzt wird, während keine offizielle Lösung verfügbar ist.

Die aktiv ausgenutzten Zero-Day-Schwachstellen in den heutigen Updates sind:

CVE-2025-21391 – Windows Storage-Schwachstelle zur Erhöhung von Berechtigungen

Microsoft hat eine aktiv ausgenutzte Schwachstelle zur Erhöhung von Berechtigungen behoben, die zum Löschen von Dateien genutzt werden kann.

„Ein Angreifer kann nur gezielt Dateien auf einem System löschen„, heißt es in der Microsoft-Meldung.

“Diese Sicherheitsanfälligkeit ermöglicht keine Offenlegung vertraulicher Informationen, könnte es einem Angreifer jedoch ermöglichen, Daten zu löschen, die dazu führen könnten, dass der Dienst nicht mehr verfügbar ist“, so Microsoft weiter.

Es wurden keine Informationen darüber veröffentlicht, wie dieser Fehler bei Angriffen ausgenutzt wurde und wer ihn offengelegt hat.

CVE-2025-21418 – Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability

Die zweite aktiv ausgenutzte Schwachstelle ermöglicht es Bedrohungsakteuren, SYSTEM-Privilegien in Windows zu erlangen.

Es ist nicht bekannt, wie sie bei Angriffen ausgenutzt wurde, und Microsoft gibt an, dass diese Schwachstelle anonym gemeldet wurde.

Die öffentlich gemeldeten Zero-Days sind:

CVE-2025-21194 – Microsoft Surface-Schwachstelle zur Umgehung der Sicherheitsfunktion

Laut Microsoft handelt es sich bei diesem Fehler um eine Hypervisor-Schwachstelle, die es Angreifern ermöglicht, UEFI zu umgehen und den sicheren Kernel zu kompromittieren.

„Diese Hypervisor-Schwachstelle betrifft virtuelle Maschinen innerhalb eines Unified Extensible Firmware Interface (UEFI)-Host-Computers“, heißt es in der Microsoft-Meldung.

„Bei bestimmter Hardware ist es möglicherweise möglich, UEFI zu umgehen, was zur Kompromittierung des Hypervisors und des sicheren Kernels führen könnte.“

Laut Microsoft haben Francisco Falcón und Iván Arce von Quarkslab die Schwachstelle entdeckt.

Microsoft hat zwar nicht viele Details über den Fehler bekannt gegeben, doch es ist wahrscheinlich, dass er mit den PixieFail-Fehlern zusammenhängt, die von den Forschern im vergangenen Monat aufgedeckt wurden.

PixieFail ist eine Gruppe von neun Schwachstellen, die sich auf den IPv6-Netzwerkprotokollstapel von Tianocores EDK II auswirken, der von Microsoft Surface und den Hypervisor-Produkten des Unternehmens verwendet wird.

CVE-2025-21377 – NTLM Hash Disclosure Spoofing Vulnerability

Microsoft hat einen öffentlich gemachten Fehler behoben, der die NTLM-Hashes eines Windows-Benutzers offenlegt und es einem Angreifer von außen ermöglicht, sich möglicherweise als der Benutzer anzumelden.

„Diese Sicherheitsanfälligkeit kann bereits durch minimale Interaktion eines Benutzers mit einer schädlichen Datei ausgelöst werden, z. B. durch Auswahl (einfacher Klick), Überprüfung (Rechtsklick) oder Ausführen einer anderen Aktion als Öffnen oder Ausführen der Datei“, heißt es in der Microsoft-Meldung.

Microsoft hat zwar nicht viele Details über den Fehler bekannt gegeben, aber wahrscheinlich verhält er sich wie andere NTLM-Hash-Offenlegungsfehler, bei denen Windows durch einfache Interaktion mit einer Datei, anstatt sie zu öffnen, eine Remote-Verbindung zu einer Remote-Freigabe herstellen kann. Dabei wird der NTLM-Hash des Benutzers im Rahmen einer NTLM-Aushandlung an den Remote-Server weitergeleitet, den der Angreifer abfangen kann.

Diese NTLM-Hashes können dann geknackt werden, um das Klartext-Passwort zu erhalten, oder in Pass-the-Hash-Angriffen verwendet werden.

Laut Microsoft wurde dieser Fehler von Owen Cheung, Ivan Sheung und Vincent Yau von Cathay Pacific, Yorick Koster von Securify B.V. und Blaz Satler von 0patch by ACROS Security entdeckt.

Die Sicherheitsupdates vom Patchday im Februar 2025

Nachfolgend finden Sie die vollständige Liste der behobenen Schwachstellen in den Updates vom Patchday im Februar 2025.

Der Beitrag 2025-02 Patchday Microsoft erschien zuerst auf Grams IT - Blog.