Schwerpunkt: Letztes kostenloses Sicherheitsupdate für Windows 10, Windows 11 24H2/25H2 im Feld, unternehmensrelevante Risiken und Prioritäten

1) Überblick

Der Oktober‑Patchday fällt auf Dienstag, 14. Oktober 2025 (zweiter Dienstag im Monat). Für Unternehmen ist dieser Termin doppelt relevant: Windows 10 erhält zum letzten Mal kostenlose Sicherheitsupdates; danach sind Patches nur noch über das Extended Security Updates (ESU)‑Programm verfügbar. Parallel laufen Sicherheits‑ und Qualitätsupdates für Windows 11 24H2/25H2 sowie Windows‑Server‑Editionen. Microsoft Support+4Security-Insider+4Microsoft Support+4

Cloud-Backups der Firewall-Konfigurationen kompromittiert – Comp4U stabilisiert sofort und migriert auf einen sicheren Zielzustand (Sophos XGS)

Die Lage: SonicWall hat bestätigt, dass Unbefugte die Konfigurations-Backups aller Kunden abrufen konnten, die die MySonicWall-Cloud-Backup-Funktion genutzt haben. Die frühere „< 5 %“-Einschätzung wurde nach der forensischen Untersuchung widerrufen. Die Dateien enthalten vollständige Konfigurationsdetails; hinterlegte Zugangsdaten sind verschlüsselt, dennoch liefern die Backups eine präzise Landkarte der Verteidigung (Regeln, VPN-Profile, Dienste) und erhöhen damit das Risiko gezielter Angriffe.

Am 9. September 2025 (zweiter Dienstag im Monat) hat Microsoft die Sicherheits‑ und Qualitätsupdates für Windows, Office und weitere Produktbereiche veröffentlicht. Je nach Zählweise wurden rund 80–86 Microsoft‑CVE adressiert. Tenable zählt 80 CVEs (8 „Critical“, 72 „Important“) und 1 öffentlich bekannt gemachte Schwachstelle, während SANS ISC 86 CVEs für Microsoft‑Produkte nennt (abweichende Methodik, inkl. einiger OSS‑Komponenten in Azure/Linux). Hinweise auf aktiv ausgenutzte Zero‑Days liegen für diesen Patchday nicht vor; zwei Schwachstellen waren vorab öffentlich bekannt. Für Unternehmensumgebungen relevant sind neben mehreren Windows‑ und Office‑Lücken vor allem Themen wie NTLM‑Eskalation, Hyper‑V‑Isolationsgrenzen, SMB‑Härtung sowie SharePoint/SQL Server.

In dieser Folge geht es um die Mittel und Methoden, die Angreifer gezielt einsetzen: von Keyloggern über Malware-Frameworks bis hin zu täuschend echten digitalen Signaturen. Ziel ist es, typische Begriffe einzuordnen, die das Arsenal und Verhalten von Cyberkriminellen beschreiben – jenseits der technischen Lücke oder des einen Exploits.

In dieser Folge geht es nicht um konkrete Produkte oder Softwarelösungen – sondern um die Grundprinzipien moderner Security-Strategien. Begriffe wie Zero-Day, TTPs, Security through Obscurity oder SOC/SIEM sind allgegenwärtig, aber oft nicht sauber voneinander abgegrenzt.
Diese Ausgabe zeigt, wie diese Begriffe zusammenhängen, welche Denkweise dahintersteckt – und warum „Sichtbarkeit“ und „Kontext“ in Sicherheitsarchitekturen entscheidender sind als Tool-Vielfalt.

Am 12. August 2025 hat Microsoft im Rahmen des Patch-Tuesdays insgesamt 107 Schwachstellen behoben, darunter 13 als kritisch bewertet (9 RCE, 3 Informationslecks, 1 Elevation of Privilege) . Je nach Quelle schwanken die Zahlen leicht – ManageEngine listet beispielsweise 111, Ivanti spricht von 107 – was auf unterschiedliche Zählweisen zurückzuführen ist.

Es kommt selten vor, dass das Bundesamt für Verfassungsschutz (BfV) in einem internationalen Sicherheitshinweis neben NSA, CISA, FBI und BSI auftritt. Am 27. August 2025 war genau das der Fall: In einer gemeinsamen Cybersicherheitswarnung wurde vor der Angreifergruppe SALT TYPHOON gewarnt.

Kritische Schwachstellen in Firewalls sorgen regelmäßig für Aufmerksamkeit – und technisch betrachtet ist das oft auch gerechtfertigt. In der praktischen Umsetzung stellt sich das Risiko jedoch sehr unterschiedlich dar. Bei Sophos-Firewalls greifen gleich mehrere Schutzmechanismen, die dazu führen, dass selbst sicherheitskritische Lücken in aller Regel ohne unmittelbare Gefährdung für professionell betriebene Systeme bleiben.

Am 18. Juli 2025 beobachteten Analysten von Sophos MDR (Managed Detection and Response) eine Welle bösartiger Aktivitäten, die auf lokale Microsoft-SharePoint-Server abzielten. Dabei wurden in großem Umfang maliziöse PowerShell-Befehle auf SharePoint-Instanzen ausgeführt, was auf die aktive Ausnutzung einer neuen Angriffskette namens „ToolShell“ hindeutete.

Eine als „Toolshell“ bezeichnete Schwachstelle in Microsoft SharePoint wird seit dem 18./19. Juli 2025 aktiv von Angreifern ausgenutzt. Die zugrunde liegende Sicherheitslücke basiert auf CVE‑2025‑49704 und ist unter der Kennung CVE‑2025‑53770 registriert.

Die Einstufung nach CVSS 3.1 liegt bei 9.8 von 10 Punkten – und damit im kritischen Bereich.
Internationale Sicherheitsexperten und Behörden wie das BSI und die US-CISA berichten von konkreten Angriffen auf produktive Systeme weltweit.

Nicht betroffen ist SharePoint Online, wie es im Rahmen von Microsoft 365 betrieben wird.