Microsoft hat im Oktober-Patch-Tuesday 173 Schwachstellen in seinen Produkten behoben, darunter sechs 0‑day. Ein Teil der Lücken wird bereits aktiv ausgenutzt. Nach Microsoft-Definition sind 0‑day entweder vor Patch-Verfügbarkeit öffentlich bekannt oder mit bestätigter Ausnutzung belegt. Für Unternehmen ist eine schnelle Priorisierung dieser Aktualisierungen essenziell.
Patch Tuesday Oktober 2025: Zahlen, Einordnung und Priorisierung
Die Breite der betroffenen Komponenten reicht von Windows-Kernel-Treibern über Netzwerkdienste bis hin zu Partnerplattformen. 0‑day erhöhen das Risiko, da Angriffe bereits stattfinden oder verwertbare Informationen publiziert sind. In solchen Fällen empfiehlt sich eine risikobasierte Patch-Strategie, die Exploit-Verfügbarkeit, Angriffsoberfläche und Kritikalität der Systeme kombiniert (vgl. Microsoft Security Update Guide).
Bereits ausgenutzte Schwachstellen: was jetzt zu tun ist
CVE-2025-24990: Privilegienerweiterung über Agere-Modemtreiber (ltmdm64.sys)
Ein verwundbarer Modemtreiber von Agere ermöglicht lokalen Angreifern die Eskalation zu Administratorrechten. Microsoft entfernt den Treiber ltmdm64.sys im Zuge der Updates aus dem System und weist darauf hin, dass kompatible Hardware danach nicht mehr funktioniert. Betroffen sind alle unterstützten Windows-Versionen.
Der Angriffsweg folgt dem Muster BYOVD (Bring Your Own Vulnerable Driver): Angreifer laden gezielt einen signierten, aber verwundbaren Treiber, um Kernel-Schutzmechanismen zu umgehen und lokale Rechte zu erhöhen. Praktisch bedeutet das: Updates sofort einspielen, Treiberinventar nach ltmdm64.sys prüfen und die Auswirkungen der Entfernung auf Alt-Hardware dokumentieren (inkl. Ersatz- oder Migrationspfad).
CVE-2025-59230: SYSTEM-Rechte via Remote Access Connection Manager (RASMAN)
Ein fehlerhafter Zugriffsschutz in RASMAN erlaubte lokal authentifizierten Nutzern, Privilegien bis auf SYSTEM zu erhöhen. Das erleichtert Prozessmanipulation, Dienstinstallation und Persistenz.
Empfehlungen: sofort patchen, den Dienst bei fehlender Geschäftsnotwendigkeit einschränken oder deaktivieren, das Prinzip der minimalen Rechte umsetzen und Zugriffe sowie Startversuche von RASMAN in EDR/SIEM gezielt überwachen.
CVE-2025-47827: Secure‑Boot‑Bypass in IGEL OS bis Version 11
Auf IGEL OS vor Version 11 konnte Secure Boot umgangen werden, weil der igel-flash-driver Kryptosignaturen unzureichend prüfte. Dadurch war das Mounten einer manipulierten Root-Dateisystem‑SquashFS möglich – die Vertrauenskette des Bootvorgangs wurde gebrochen. Die Schwachstelle wurde öffentlich auf GitHub von Zack Didcott dokumentiert.
IGEL hat Updates bereitgestellt, die Microsoft im Security Update Guide referenziert. Organisationen mit IGEL-basierten Thin Clients sollten umgehend aktualisieren, Secure‑Boot‑Policies verifizieren und sicherstellen, dass Boot-Schlüssel, Firmware und Chain of Trust den Vorgaben entsprechen.
Öffentlich bekannte 0‑day in SMB Server und Microsoft SQL Server
Öffentlich gemeldete 0‑day in Windows SMB Server und Microsoft SQL Server erhöhen das Risiko für laterale Bewegung, Privilegieneskalation und Datendiebstahl. Selbst ohne vollständige Exploit-Details gelangen solche Schwachstellen erfahrungsgemäß schnell in gängige Angriffsframeworks. Patches für SMB- und SQL‑Systeme sollten daher hoch priorisiert werden, insbesondere in segmentkritischen Netzen und bei exponierten Diensten.
Windows 10: Ende des kostenlosen Supports am 14. Oktober 2025
Am 14. Oktober 2025 endet der kostenlose Support für Windows 10. Unternehmen sollten jetzt Migrationspfade zu unterstützten Versionen planen oder optionale Extended Security Updates (ESU) evaluieren, um Sicherheitslücken nach dem Stichtag abzudecken. Ein rechtzeitiger Übergang reduziert Betriebsrisiken und Compliance‑Aufwände.
Unternehmen sollten kurzfristig die verfügbaren Updates einspielen, Treiber-Allow/Blocklists prüfen (insbesondere verwundbare Kernel-Treiber), unnötige Dienste wie RASMAN deaktivieren, Secure‑Boot‑Konfigurationen validieren und die Protokollierung für verdächtige Aktivitäten in SMB/SQL ausbauen. Ergänzend empfiehlt sich ein risikobasiertes Patch-Management, das bekannte Ausnutzung, Exposition und Kritikalität gewichtet, sowie ein Härtungsprogramm mit EDR, Anwendungssteuerung und konsequenter Netzwerksegmentierung.
