DeepDive – Microsoft Patchday – September 2025

Am 9. September 2025 (zweiter Dienstag im Monat) hat Microsoft die Sicherheits‑ und Qualitätsupdates für Windows, Office und weitere Produktbereiche veröffentlicht. Je nach Zählweise wurden rund 80–86 Microsoft‑CVE adressiert. Tenable zählt 80 CVEs (8 „Critical“, 72 „Important“) und 1 öffentlich bekannt gemachte Schwachstelle, während SANS ISC 86 CVEs für Microsoft‑Produkte nennt (abweichende Methodik, inkl. einiger OSS‑Komponenten in Azure/Linux). Hinweise auf aktiv ausgenutzte Zero‑Days liegen für diesen Patchday nicht vor; zwei Schwachstellen waren vorab öffentlich bekannt. Für Unternehmensumgebungen relevant sind neben mehreren Windows‑ und Office‑Lücken vor allem Themen wie NTLM‑Eskalation, Hyper‑V‑Isolationsgrenzen, SMB‑Härtung sowie SharePoint/SQL Server.

Besonders beachtenswert: Microsoft weist in den Release Notes auf neue/angepasste Härtungen (SMB‑Signierung/EPA‑Auditing), KDC/Kerberos‑Änderungen und das Ende des Supports für Windows 10 am 14. Oktober 2025 hin.

2) Kritische Schwachstellen im Fokus

Legende:
Angriffstyp (RCE=Remote Code Execution, EoP=Elevation of Privilege, SFB=Security Feature Bypass), Vektor (Netzwerk/Lokal/Adjazent), Exploit-Relevanz (aktiv ausgenutzt / öffentlich bekannt / „More Likely“ lt. Exploitability Index / keine Hinweise)

Hinweis zur Priorisierung: Die Liste führt zunächst alle von Microsoft als Critical eingestuften Schwachstellen mit Enterprise‑Relevanz auf. Danach folgen besonders risikoreiche „Important“-Lücken (hoher CVSS, häufig exponierte Dienste oder zentrale Rollen). Werte und Einstufungen basieren auf MSRC/Tenable/SANS; wo Microsoft keine Details veröffentlicht, wird dies kenntlich gemacht.

A) Von Microsoft als Critical eingestufte CVEs (Auswahl mit Enterprise‑Bezug)

B) Öffentlich bekannte Schwachstellen (vor Patch veröffentlicht)

C) „Important“, aber mit hoher operativer Relevanz

Zusammenfassung: Keine in‑the‑wild‑Exploits bekannt; zwei CVEs waren vorab publik. Schwerpunkt liegt auf Authentifizierungs‑/Protokollhärtung (NTLM/Kerberos/SMB), Virtualisierung (Hyper‑V), Office‑Inhalten, RRAS, SharePoint und SQL Server.

3) Betroffene Systeme & Updates (Auszug)

Windows 11 24H2 / Windows Server 2025

• KB5065426 (OS Build 26100.6584). Für 24H2 außerdem OOB‑Fix KB5068221 (Build 26100.6588).

Windows 11 23H2 / 22H2 Enterprise/Education

• KB5065431 (OS Builds 22621.5909 / 22631.5909). Enthält SSU KB5064743. Bekanntes Problem: SMBv1‑Freigaben können nach Installation nicht erreichbar sein (NetBT); Workaround/Fix im Preview KB5065790 integriert.

Windows 10 22H2

• KB5065429 (OS Builds 19044.6332 / 19045.6332). Hinweis: Windows 10 erreicht Ende Support am 14.10.2025; ESU‑Option verfügbar.

Windows Server

• Server 2025: s. o. (KB5065426); Hotpatch: KB5065474 (Azure‑basiert, falls zutreffend).
• Server 2022: KB5065432 (inkl. Hotpatch KB5065306).
• Server 23H2: KB5065425.
• Server 2019: KB5065428.
• Server 2016: KB5065427. (Zusammenstellung lt. MSRC‑Release‑Hinweisen und Supportseiten.)

Weitere Hinweise aus den MSRC‑Release Notes (September 2025):

• Active Directory / Kerberos: Hinweis auf Entfernung von DES aus Kerberos, Änderungen an KDC sowie Fortsetzung der Hardening‑Reihe (z. B. Netlogon/LDAP‑Härtungen).
• SMB‑Server: Auditing für SMB‑Signierung und EPA (Extended Protection for Authentication) aktiviert; erleichtert Vorab‑Kompatibilitätsprüfungen.

4) Technische Analyse & Exploit‑Szenarien

NTLM‑Eskalation (CVE‑2025‑54918): In heterogenen Netzen kann NTLM‑Signierung/Channel‑Binding fehlen oder aus Kompatibilitätsgründen abgeschwächt sein. Ein Angreifer mit Netzwerkzugriff nutzt Schwächen im Handshake/Relay‑Umfeld, um SYSTEM‑Rechte zu erlangen. Maßnahmen: NTLM‑Minimalstandards setzen, wo möglich Kerberos bevorzugen, SMB‑Signierung durchsetzen.

Office‑RCE (CVE‑2025‑54910): Präparierte Dokumente (z. B. Word/PowerPoint/Excel) können bereits im Vorschaufenster (Outlook) Code auslösen. Gateways/EDR können Payloads erkennen, doch Social‑Engineering‑Risiko bleibt hoch. Härtung: Protected View/ATP, Makro‑Policies, Block von OLE/ActiveX (sofern vertretbar), ADMX‑Baseline aktualisieren.

Hyper‑V RCE (CVE‑2025‑55224) & Hyper‑V EoP‑Serie: Bei dicht konsolidierten HA‑Clustern dient die VM‑Isolation als Kernschutz. Ein erfolgreicher Gast‑zu‑Host‑Breakout kompromittiert den gesamten Cluster. Patchen außerhalb der Service‑Zeitfenster fällt schwer; deshalb gestaffelte Cluster‑Aware‑Updates (CAU) mit Live‑Migration einplanen, Integritätsprüfungen (HVCI, Secure Boot für VMs) aktivieren.

SMB‑EoP öffentlich bekannt (CVE‑2025‑55234): Die Lücke steht im Kontext geplanter SMB‑Härtungen (Signierung/EPA). Microsoft empfiehlt zunächst Auditierung zur Verträglichkeitsprüfung; anschließend Härtung aktivieren. Relevanz für Fileserver, Domänencontroller und Appliances.

RRAS‑RCE (CVE‑2025‑54106/‑54113): In Umgebungen mit Site‑to‑Site/Remote‑Zugriff sind exponierte Gateway‑Rollen beliebtes Ziel. Netzfilterung, Minimierung der öffentlich erreichbaren Dienste und Isolierung der Rolle reduzieren das Risiko. Schnell patchen, falls RRAS aktiv im Einsatz.

SharePoint‑RCE (CVE‑2025‑54897): Authentifizierte Angreifer können Code auf SharePoint‑Servern ausführen (z. B. durch manipulierte Inhalte). Besonders kritisch bei breiten Berechtigungen oder externen Kollaborationsszenarien. Application Whitelisting und restriktive Service‑Konten helfen zusätzlich.

SQL Server (CVE‑2025‑55227, CVE‑2025‑47997, republish CVE‑2024‑21907): Rechteausweitung und Informations‑/Dienstverfügbarkeitsrisiken; in Kombination mit schwachen DB‑Rollen oder unsicheren App‑Konten problematisch. ODBC/ODT/SQL‑Agent‑Abhängigkeiten prüfen; Wartungsfenster mit Applikations­teams abstimmen.

Lagebild Exploits: SANS meldet keine bekannten in‑the‑wild‑Exploits zum Zeitpunkt der Veröffentlichung; zwei CVEs waren öffentlich bekannt. Das CISA‑KEV‑Verzeichnis enthielt diese neuen Windows‑CVEs um den Patchday herum nicht; die Lage ist dynamisch und sollte laufend gegen KEV geprüft werden.

5) Empfohlene Maßnahmen & Checkliste

Vorbereitung & Absicherung

• Vollständige Backups (System‑ und Datenebene), Wiederherstellungs‑Tests (Bare‑Metal/VM, Notfall‑Playbooks).
• Wartungsfenster und Rollback‑Pfad pro Plattform (Hyper‑V Cluster A/B‑Ring).
• Abhängigkeiten dokumentieren (SQL‑Backends, SharePoint, RRAS, Drittanbieter‑Agenten/EDR, Virtualisierungstools).

Deployment‑Strategie

• Priorität 1 (sofort): Domänencontroller, Fileserver/SMB, Hyper‑V‑Hosts/Cluster, Office‑/VDI‑Terminalserver, exponierte RRAS/Edge‑Systeme, SharePoint‑Server.
• Priorität 2 (zeitnah): SQL‑Server, Applikations‑Server, übrige Member‑Server.
• Priorität 3: Client‑Rollout in Wellen (IT‑Pilot → Early Adopters → Breite).
• Windows 11 23H2: KB5065431 ausrollen, SMBv1‑Issue beachten; bei Betroffenheit Preview KB5065790 einplanen. Windows 11 24H2: bei Bedarf OOB KB5068221 berücksichtigen.

Härtung & Konfig

• SMB‑Härtung: Signierung und EPA (Extended Protection) prüfen/erzwingen; zuvor mit dem neuen Audit die Kompatibilität ermitteln. Legacy SMBv1 vermeiden.
• NTLM reduzieren: NTLMv2 erzwingen, SMB‑Signing erforderlich, Kerberos bevorzugen, NTLM‑Fallbacks einschränken.
• Office‑Makro‑Policies & Protected View aktivieren; Outlook‑Vorschau härten.
• Hyper‑V‑Baseline: Secure Boot/TPM für VMs, HVCI/Memory‑Integrity, regelmäßige CAU‑Zyklen.

Monitoring & Nachkontrolle

• Eventing für SMB‑Signierung/EPA‑Audit aktiv beobachten; Abweichungen adressieren.
• IDS/EDR‑Regeln aktualisieren (Office‑Payloads, Auth‑Anomalien NTLM/Kerberos).
• Vulnerability‑Scan nach dem Rollout (z. B. Abgleich gegen Tenable‑Plugins / Patchlevels).

Strategie Windows 10 EoS (14.10.2025)

• Migrationsplan zu Windows 11 priorisieren; wo nicht möglich, ESU‑Programm evaluieren (Kosten/Risiko).

6) Fazit & Handlungsempfehlung

Für typische Unternehmensumgebungen ergibt sich folgende Priorisierung:

1. Identitäten & Datei‑Dienste: NTLM‑EoP (CVE‑2025‑54918) und SMB‑Härtung (inkl. Audit/Signierung/EPA, CVE‑2025‑55234 öffentlich bekannt) – sofort handeln.
2. Virtualisierung: Hyper‑V‑RCE (CVE‑2025‑55224) und Hyper‑V‑EoP‑Serie – Cluster‑aware patchen; Ausbruchsrisiken minimieren.
3. Inhalts‑Angriffsfläche: Office‑RCE (CVE‑2025‑54910) – Gateways/Policies prüfen, Endpunkte zügig aktualisieren.
4. Edge‑/Remote‑Zugänge: RRAS‑RCE (CVE‑2025‑54106/‑54113) – öffentlich exponierte Systeme priorisieren.
5. Kollaboration & Daten: SharePoint‑RCE (CVE‑2025‑54897), SQL Server‑Lücken – mit Applikationsteams koordinieren.
6. Sonderrollen: HPC Pack RCE (CVE‑2025‑55232) – falls vorhanden, sofort patchen oder segmentieren.

Da aktuell keine aktive Ausnutzung gemeldet ist, empfiehlt sich ein zügiges, aber kontrolliertes Rollout mit Fokus auf oben genannte Bereiche und anschließender Härtungskontrolle.

Unterstützung beim Patchmanagement – ServicePlus

Für Umgebungen mit vielen Business‑Applikationen, Domänen­diensten, Hyper‑V/Failover‑Clustern oder gemischten Windows‑Versionen empfiehlt sich ein standardisiertes, professionelles Patchmanagement. Comp4U ServicePlus übernimmt auf Wunsch den gesamten Prozess – von der Einordnung der CVEs bis zum gestaffelten Rollout mit Nachkontrolle:

• Risikobasierte Priorisierung (MSRC, CISA KEV, BSI) inkl. Bewertung von PoCs/Disclosure‑Status.
• Verträglichkeitstests & Pilotierung (Lab, Canary‑Ringe) mit definierten Rollback‑Plänen.
• Gestaffelte Rollouts über Intune/WSUS/ConfigMgr, HA‑/Cluster‑aware für Hyper‑V, SQL, Fileservices, DCs.
• Change‑/Wartungsfenster & Kommunikation gemäß ITIL‑Vorgehen.
• Monitoring & Reporting (Compliance‑Quoten, Drift, Ausreißer), Ticket‑/SIEM‑Anbindung.
• Notfall‑Patching bei aktiv ausgenutzten/öffentlich offengelegten Schwachstellen.
• Dokumentation (KB‑Stände, Build‑IDs, Ausnahmen, Abnahmeprotokolle).

Kontakt für Rückfragen oder zur schnellen Umsetzung in der eigenen Umgebung:

E‑Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
Telefon: +49 6103 9707‑500

Quellen:

Offizielle Microsoft‑Ressourcen

• MSRC – Release Notes September 2025: https://msrc.microsoft.com/update-guide/releaseNote/2025-Sep.
• Microsoft Support – KB5065426 (Windows 11 24H2 / Windows Server 2025): https://support.microsoft.com/en-us/topic/september-9-2025-kb5065426-os-build-26100-6584-77a41d9b-1b7c-4198-b9a5-3c4b6706dea9.
• Microsoft Support – KB5065431 (Windows 11 22H2/23H2), inkl. Known Issue SMBv1/NetBT und Hinweis auf KB5065790:
  https://support.microsoft.com/en-us/topic/september-9-2025-kb5065431-os-builds-22621-5909-and-22631-5909-c428cf71-e28d-490f-b0d7-a587ebab0667.
  → Preview‑Fix: KB5065790: https://support.microsoft.com/en-us/topic/september-23-2025-kb5065790-os-build-22621-5984-preview-cb0b964a-c953-4605-a203-572dde2d9433.
• Microsoft Support – KB5065429 (Windows 10 22H2): https://support.microsoft.com/en-us/topic/september-9-2025-kb5065429-os-builds-19044-6332-and-19045-6332-b343e907-4f50-41d9-80f8-519490551b91.

Analysen & Fachberichte (Auswahl)

• SANS ISC Diary – Microsoft Patch Tuesday September 2025 (mit CVE‑Übersicht und Kommentierung): https://isc.sans.edu/diary/32270.
• Tenable – Patch Tuesday September 2025 (u. a. NTLM/SMB, Office, Hyper‑V): https://www.tenable.com/blog/microsofts-september-2025-patch-tuesday-addresses-80-cves-cve-2025-55234.
• Security‑Insider (DE) – Patchday September 2025 (deutsche Zusammenfassung, Priorisierung): https://www.security-insider.de/microsoft-patchday-september-2025-windows-updates-a-6a6019204714a5acc7ec85e52d6b014f/.
• Help Net Security – Patch Tuesday Überblick (Microsoft/Adobe/SAP): https://www.helpnetsecurity.com/2025/09/10/microsoft-adobe-sap-deliver-critical-fixes-for-september-2025-patch-tuesday/.
• WinFuture (DE) – Patchday September 2025 (Windows 10/11): https://winfuture.de/news,153521.html.
• BleepingComputer – Bekanntes Problem: SMBv1‑Verbindungsfehler nach September‑Updates: https://www.bleepingcomputer.com/news/microsoft/microsoft-says-windows-september-updates-break-smbv1-shares/.

Behörden/Hintergrund

• CISA – Known Exploited Vulnerabilities (KEV) Katalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog.
• BSI (DE) – Hinweis zum Supportende Windows 10 (Relevanz für Patch‑Strategie/EOL‑Planung): https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/250714_Supportende_Win10.html.