DeepDive Patchday Oktober 2025

Schwerpunkt: Letztes kostenloses Sicherheitsupdate für Windows 10, Windows 11 24H2/25H2 im Feld, unternehmensrelevante Risiken und Prioritäten

1) Überblick

Der Oktober‑Patchday fällt auf Dienstag, 14. Oktober 2025 (zweiter Dienstag im Monat). Für Unternehmen ist dieser Termin doppelt relevant: Windows 10 erhält zum letzten Mal kostenlose Sicherheitsupdates; danach sind Patches nur noch über das Extended Security Updates (ESU)‑Programm verfügbar. Parallel laufen Sicherheits‑ und Qualitätsupdates für Windows 11 24H2/25H2 sowie Windows‑Server‑Editionen. Microsoft Support+4Security-Insider+4Microsoft Support+4

Das BSI weist erneut darauf hin, dass der weitere Betrieb von Windows 10 ohne Support ein Sicherheitsrisiko darstellt und empfiehlt rechtzeitige Migrationsentscheidungen. BSI

Kurzfazit für IT‑Betrieb:

1. Oktober‑Updates zügig testen und freigeben. 2) Windows‑10‑Assets inventarisieren und für ESU oder Migration einplanen. 3) Server‑Hotpatch/Cluster‑Wartungsfenster abstimmen. 4) Dritthersteller‑Lücken (z. B. 7‑Zip) in denselben Rollout‑Zyklus integrieren.

2) Kritische Schwachstellen im Fokus (Hotlist)

Die vollständige CVE‑Liste für den Oktober‑Release ist — wie üblich — im Microsoft Security Update Guide (MSRC/SUG) verfügbar. (Hinweis: Die Release‑Notes werden clientseitig gerendert; der Export/CSV erfolgt über die SUG‑Oberfläche oder API.) Die nachfolgende Hotlist priorisiert unternehmensrelevante Risiken mit aktueller Exploit‑Relevanz bzw. erhöhter Angriffsfläche. Microsoft Security Response Center

Hinweise:

• SharePoint‑On‑Prem ist aktuell einer der wichtigsten Angriffsvektoren im Microsoft‑Portfolio. Systeme ohne Juli/September‑Fixes sind bevorzugte Ziele. Microsoft
• Für SMB‑Relay‑Szenarien zählen Konfiguration und Härtung (SMB‑Signierung, NTLM‑Restriktionen) ebenso wie das Patching. Microsoft Support

Zur vollständigen Oktober‑CVE‑Liste: über die SUG‑Filter Release = 2025‑Oct exportieren (CSV/Excel) oder die MSRC‑API nutzen. Microsoft Security Response Center+1

3) Betroffene Systeme & Updates (Auswahl)

Windows‑Clients

• Windows 11 25H2/24H2: Update‑Historien (inkl. Build‑/KB‑Übersicht, bekannte Probleme). 25H2 rollt seit Ende September phasenweise; Feature‑Enablement‑Pfad von 24H2 möglich. Microsoft Support+2Microsoft Support+2
• Windows 10 22H2: Letzte kostenlose Sicherheitsupdates am 14. Oktober 2025; danach ESU (auch für Privatpersonen/Unternehmen, kostenpflichtig). Update‑Historie liefert KB‑Referenzen. Microsoft Support+1

Windows‑Server

• Windows Server 2025 (LTSC, 24H2): Update‑Historie; Hotpatch (Azure Arc) für Neustartfreie Security‑LCUs verfügbar. Microsoft Support+1
• Weitere unterstützte Server‑Versionen: Siehe Windows‑Server Release‑Health für monatliche LCUs/SSUs inkl. bekannter Probleme. Microsoft Learn

.NET / Office‑Workloads / SharePoint / Exchange / SQL

• .NET Framework Sicherheits‑Rollups erscheinen synchron zum Patchday; Abhängigkeiten beachten (.NET‑KB wird meist über das OS‑KB angeboten). Microsoft Learn
• SharePoint: Patches zu CVE‑2025‑53770/‑53771 umgehend einspielen; anleitende Microsoft‑Guidance beachten. Microsoft
• Edge (Chromium): Oktober‑Sicherheitsfixes in Stable; Versionierung/Release‑Notes prüfen. Microsoft Learn

Wichtig: Konkrete KB‑Nummern und Builds für den heutigen B‑Release (Patch Tuesday) sind in den jeweiligen Update‑Historien von Windows 11/10/Server sowie im Update‑Katalog und der SUG geführt. (Die SUG ist die maßgebliche Quelle; Zählweise externer Blogs kann abweichen.) Microsoft Support+3Microsoft Security Response Center+3Microsoft Support+3

4) Technische Analyse & Exploit‑Szenarien

SharePoint RCE (CVE‑2025‑53770/‑53771).
Angriffe nutzen manipulierte Deserialisierungs‑Pfade, um Code auf dem Server ohne Authentifizierung auszuführen. Praktische Ketten umfassen initiale Webshell‑Implantation, Rechteausweitung und laterale Bewegung. Kritisch in Umgebungen mit exponierten SharePoint‑Frontends oder fehlender Segmentierung zwischen DMZ und App‑Netzen. Maßnahmen: sofort patchen, MachineKey rotieren, AMSI/Defender aktiv, Logs auf Auffälligkeiten (Webshell‑Artefakte, ungewöhnliche Prozessketten) prüfen. Microsoft+1

SMB‑Relay/EoP (CVE‑2025‑55234).
Angreifer missbrauchen schwache/fehlende SMB‑Signierung bzw. NTLM‑Konfiguration, um Anmeldedaten zu relayn und Privilegien zu erhöhen. Besonders relevant für Domänen‑Szenarien (z. B. zwischen Clients, Fileservern, Applikationsdiensten). Maßnahmen: Patch‑Basis ab September sicherstellen, SMB‑Signierung erzwingen, NTLM‑Abschwächung/Block gemäß Microsoft‑Guidance einführen, Kerberos bevorzugen. Microsoft Support

HPC Pack RCE (CVE‑2025‑55232).
In HPC/Engineering‑Setups mit Head/Compute‑Knoten kann eine unauthentisierte Deserialisierungs‑Schwachstelle zur Remote Code Execution führen. Maßnahmen: Patchen, Netz‑Exponierung prüfen, Management‑Ports segmentieren, Service‑Konten härten. NVD

Edge/Chromium.
Browser‑Lücken (teils Sandbox‑Escapes) sind häufig Web‑exponiert und werden zeitnah ausgenutzt. Unternehmensweit Stable‑Stand vereinheitlichen, Updatemechanismen erzwingen (Intune/ConfigMgr/WSUS) und ggf. Zero‑Day‑Fixes zeitnah nachziehen. Microsoft Learn

Drittanbieter (7‑Zip).
ZIP/Symlink‑Tricks ermöglichen Pfad‑Durchbruch und Dateiumschreiben außerhalb des Extrakt‑Ordners; ausreichend für Codeausführung im Nutzerkontext. In Praxis oft außerhalb zentraler Softwareverteilung → Inventarisierung/Update erzwingen. Tom's Hardware

5) Empfohlene Maßnahmen & Checkliste

Vorbereitung (heute):

• Inventar & Priorisierung: Windows‑10‑Bestand (ESU‑Kandidaten), SharePoint‑On‑Prem, HPC‑Knoten, Browser‑Stände, kritische Serverrollen (AD/Files/SQL/Exchange) markieren. Microsoft Learn
• Backup & Rollback: System‑ und Applikationssicherung (Image/VM‑Snapshot), Test‑AD/Pre‑Prod für Freigabe nutzen.
• Wartungsfenster: HA‑Cluster sequentiell patchen; Server 2025 Hotpatch in Azure‑Arc‑Umgebungen nutzen, wo möglich. Microsoft Support

Deployment‑Strategie:

1. Browser/Edge, 2) SharePoint‑Server, 3) Domänen‑kritische Server (AD/Files/Print/SQL), 4) übrige Server, 5) Clients.

• SMB‑Härtung zeitgleich aktivieren (Signierung/NTLM‑Policies). Microsoft Support
• Windows 10: letzte kostenlose Sicherheits‑LCU einspielen; ESU‑Registrierung/Lizenzierung vorbereiten. Microsoft Learn

Monitoring & Nachkontrolle:

• Ereignisquellen: SharePoint‑ULS/IIS, Security/Operational (SMB/Kerberos/NTLM), EDR‑Alerts.
• Known‑Issue‑Rollback (KIR) im Blick behalten, falls Funktionsregressionen auftreten (z. B. UAC/Installer‑Seiteneffekte wie im August beobachtet). Tom's Hardware

Zusätzliche Härtung (Quick Wins):

• SMB‑Signierung erzwingen, NTLM‑Fallback minimieren, LDAP Signing/Channel Binding durchsetzen. Microsoft Support
• Browser‑Isolation (AppControl/SmartScreen), Office‑Makro‑Policies, ASR‑Regeln nachschärfen.
• SharePoint: Exponierung reduzieren (Reverse‑Proxy, WAF), Admin‑Interfaces intern halten; MachineKey‑Rotation nach Patch. Microsoft

6) Fazit & Handlungsempfehlung

• Patchday Oktober 2025 ist ein Zäsur‑Release: Windows 10 erreicht das Ende der kostenlosen Sicherheitsversorgung. Unternehmensrichtlinien sollten Migration oder ESU verbindlich festlegen. Microsoft Support+1
• Operative Priorität: SharePoint‑On‑Prem (CVE‑2025‑53770/‑53771) → sofort schließen, Spurenlage prüfen; SMB‑Härtung und September‑Baseline sicherstellen; Browser zügig vereinheitlichen. Microsoft+2Microsoft Support+2
• Risikominimierung: Dritthersteller‑Lücken (7‑Zip) in denselben Zyklus aufnehmen; Shadow‑IT‑Installationen identifizieren. Tom's Hardware

7) Quellen

• Microsoft Security Update Guide (SUG) – zentrale Referenz inkl. Export/API. Microsoft Security Response Center
• Windows 10 – Supportende 14.10.2025 (Microsoft). Microsoft Support
• Extended Security Updates (ESU) für Windows 10 (Microsoft Learn). Microsoft Learn
• Windows 11 24H2/25H2 – Update‑Historie (Microsoft Support). Microsoft Support+1
• Windows Server 2025 – Update‑Historie & Hotpatch (Microsoft Support). Microsoft Support+1
• BSI – Hinweise zum Supportende Windows 10 (Pressemitteilungen). BSI
• CVE‑Daten (NVD/CVE) zu SMB/SharePoint/HPC. NVD+2NVD+2
• MSRC‑Guidance SharePoint CVE‑2025‑53770/‑53771. Microsoft
• Edge/Chromium – Security Release Notes (Microsoft Learn). Microsoft Learn
• Help Net Security – Patch‑Tuesday‑Forecast Oktober 2025 (Einordnung). Help Net Security
• 7‑Zip – Sicherheitslage Oktober 2025 (Bericht). Tom's Hardware
• SMB‑Härtungsimplikationen ab September‑Patchday (Windows 10 KB‑Hinweis). Microsoft Support