Microsoft hat im Rahmen des Patch Tuesday im September 81 Schwachstellen in seinen Produkten behoben. Darunter befinden sich neun kritisch eingestufte Fehler (überwiegend Remote Code Execution, RCE) und zwei 0‑Day‑Schwachstellen, die bereits vor Veröffentlichung der Patches öffentlich bekannt waren. Laut Microsoft liegen derzeit keine Hinweise auf aktive Ausnutzung vor.
0‑Days im Fokus: SMB‑Relay‑Angriffe und DoS ueber Newtonsoft.Json in SQL Server
CVE-2025-55234: Privilegienausweitung via SMB Relay
CVE-2025-55234 (CVSS 8.8) betrifft den Windows SMB Server und ermoeglicht Relay‑Angriffe, bei denen Anmeldedaten weitergeleitet und fuer eine Privilegienausweitung missbraucht werden koennen. Microsoft empfiehlt dringend die Aktivierung von SMB Server Signing und Extended Protection for Authentication (EPA), um Relay‑Risiken signifikant zu reduzieren. Unternehmen sollten moegliche Kompatibilitaetsprobleme mit aelteren Clients einplanen und die Umstellung schrittweise, beginnend in Test‑ und Nicht‑Produktivsegmenten, durchfuehren.
CVE-2024-21907: Denial of Service ueber Newtonsoft.Json in SQL Server
CVE-2024-21907 (CVSS 7.5) betrifft die mit einigen Microsoft SQL Server-Builds ausgelieferte Bibliothek Newtonsoft.Json. Speziell formatierte Inhalte koennen beim Aufruf von JsonConvert.DeserializeObject einen StackOverflow ausloesen und dadurch ohne Authentifizierung zu Denial of Service fuehren. Die Problematik war bereits oeffentlich bekannt und wird mit den aktuellen Updates geschlossen.
Kritische Updates: Azure (CVSS 10.0), RCE in HPC Pack und Privilegienausweitung in NTLM
CVE-2025-54914: Kritischer Fehler in Azure‑Netzwerkdiensten
CVE-2025-54914 erhaelt die hoechste CVSS‑Bewertung 10.0 und betrifft Azure‑Netzwerkkomponenten mit potenzieller Privilegienausweitung. Da es sich um eine Cloud‑seitige Schwachstelle handelt, wurden die Fixes dienstseitig durch Microsoft eingespielt; Kundenseitig sind keine Sofortmassnahmen erforderlich.
CVE-2025-55232: Remote Code Execution in Microsoft HPC Pack
CVE-2025-55232 (CVSS 9.8) ist eine RCE‑Schwachstelle in Microsoft High Performance Compute (HPC) Pack, die die Ausfuehrung beliebigen Codes auf Cluster‑Knoten erlaubt. Microsoft rät, HPC‑Umgebungen strikt in vertrauenswuerdigen Netzsegmenten zu betreiben, die Exponierung nach aussen zu minimieren und TCP‑Port 5999 an Perimeter‑ und Host‑Firewalls zu filtern.
CVE-2025-54918: Privilegienausweitung in Windows NTLM
CVE-2025-54918 (CVSS 8.8) betrifft Windows NTLM und kann eine Eskalation bis SYSTEM ermoeglichen. Empfohlen werden die beschleunigte Patch‑Verteilung, eine Ueberpruefung der Authentifizierungsrichtlinien sowie – wo moeglich – das Härten von NTLM bzw. die Migration auf Protokolle mit moderner gegenseitiger Authentifizierung.
Risikobewertung, Prioritaet und praxisnahe Härtung
Organisationen sollten die Einspielung der Updates anhand von CVSS‑Scores, Exponierung der Dienste und Auswirkung auf kritische Geschaeftsprozesse priorisieren. Systeme mit Netzwerkanbindung in externe Segmente (SMB, HPC‑Cluster, SQL‑Komponenten) geniessen Vorrang. Im Kontext von SMB‑Relay empfiehlt sich eine Kombination aus Patchen und SMB Signing/EPA, abgesichert durch Kompatibilitaetstests mit Altsystemen.
Bewaehrte Kontrollmassnahmen sind Netzwerksegmentierung und Zero‑Trust‑Prinzipien, strikte Verwaltung privilegierter Konten, Multi‑Faktor‑Authentifizierung, harte Service‑ACLs sowie umfangreiches Protokollieren (Authentifizierungsereignisse, NTLM‑Fallbacks, SMB‑Signaturfehler). Regelmaessige Asset‑Inventarisierung und Schwachstellenscans helfen, vergessene Instanzen (z. B. Test‑HPC‑Knoten) zu erkennen.
Konkrete Empfehlungen fuer den Betrieb
– Patches des September‑Zyklus zuegig auf allen betroffenen Microsoft‑Produkten einspielen.
– Zugriffe auf Admin‑/Service‑Ports minimieren; TCP 5999 in HPC‑Umgebungen strikt filtern.
– SMB Server Signing und EPA aktivieren und rollierend ausrollen, mit Monitoring von Alt‑Clients.
– SQL Server‑Instanzen auf Abhaengigkeiten zu Newtonsoft.Json pruefen und Komponenten aktualisieren.
– Authentifizierungsrichtlinien härten, MFA durchsetzen und Logging/Alerting fuer Privilegien‑Eskalationen schaerfen.
Die Updates unterstreichen einen klaren Trend: Angriffe auf Authentifizierungs‑Mechanismen (SMB, NTLM) und leistungsintensive Dienste (HPC, Cloud‑Netzwerkebene) bleiben attraktive Einfallsvektoren. Eine schnelle Patch‑Umsetzung, kombiniert mit Segmentierung, Minimal‑Privileges und strengem Zugriffsmanagement, reduziert das Zeitfenster fuer Angreifer deutlich. Offizielle Hinweise und Details liefert die Microsoft Security Update Guide sowie regelmaessig der MSRC‑Blog; fuer Bedrohungslage und Exploit‑Trends empfiehlt sich zusaetzlich die Beobachtung der CISA KEV‑Liste.
