Microsoft-Update vom September 2025: Snort-Regeln und wichtige Sicherheitslücken, auf die Sie achten sollten

Der Patch Tuesday im September fällt sein Urteil: Microsoft patcht 86 Schwachstellen, darunter acht mit hoher Ausnutzungswahrscheinlichkeit. Sicherheitsteams überwachen bereits CVE-2025-54916, einen Stack-Overflow in NTFS, der Remotecode ausführen kann, und CVE-2025-54918, eine Privilegienerweiterung über NTLM. Die neuen Snort-Regeln – die Serien 65327 bis 65334 und 301310 bis 301313 – blockieren Angriffsversuche. Zwischen Zero-Day-SMB, Office-Schwachstelle und dem Wettlauf um Patches beschleunigt sich das Windows-Ökosystem. Administratoren haben nur wenige Tage Zeit, um Patches zu veröffentlichen, Cisco-Signaturen neu zu laden und ihre Protokolle zu prüfen. Entscheidungen müssen schnell getroffen werden; das Zeitfenster für Ausnutzungen wird immer kürzer. Patch Tuesday: Kritische und Zero-Day-Schwachstellen unter der Lupe In den frühen Morgenstunden isolierte die SOC-Community vier als lebenswichtig eingestufte Vektoren. Die bekannteste Schwachstelle,

CVE-2025-54916

, zielt auf NTFS ab und durchquert das Netzwerk ohne starke Authentifizierung – die perfekte Kombination für blitzschnelle Ransomware. Weniger auffällig, aber ebenso gefährlich ist CVE-2025-54101, die die Use-after-free-Funktion in SMB v3 ausnutzt – ein neuer Albtraum für den Dateiaustausch. Auf Workstations verwandelt CVE-2025-54910 ein Office-Dokument durch einen Heap-Überlauf in einen Trojaner. Zwei DirectX-Schwachstellen ( CVE-2025-55226 und 55236) im Kernel ermöglichen die lokale Ausführung auf Grafik-Workstations. Die Patches decken Windows 10, 11 und alle Server-Varianten ab, einschließlich Version 2025. Die Botschaft ist klar: Wer die Bereitstellung verzögert, vernachlässigt die Frontlinie. Snort-Regeln: Wie Cisco die Netzwerkerkennung verbessertGleichzeitig wird das IDS-Portfolio aktualisiert. Die Signaturen Snort2 65327–65334 und Snort3

301310-301313 verfolgen bereits abnormale Pakete im Zusammenhang mit NTFS, SMB und DirectX. Ein falscher Positivbefund ist besser als eine offene Shell; Analysten passen die Toleranzschwelle an, um eine Überlastung des SOC zu vermeiden. Bei einem fiktiven Hosting-Anbieter in Lille wurde der Datenverkehr von 2.000 Servern zu einem ungepatchten Dateiserver in weniger als einer Stunde unterbrochen. Protokolle zeigen einen Anstieg der von russischen IPs weitergeleiteten NTLM-Versuche – ein Beweis dafür, dass Botnetze nach der kleinsten neuen Schwachstelle suchen. In der Produktion ist die Regel einfach: SRU-Update der Cisco-Firewall, sofortige Verteilung an regionale Sensoren und zentrales Reporting in Splunk.

Um die Dringlichkeit zu verdeutlichen, analysiert das folgende Video den in einem anfälligen Windows-11-Labor erfassten Datenverkehr. Windows-, Azure- und Office-365-Umgebungen: Was ist das tatsächliche Risiko? Die Angriffsfläche ist nicht mehr auf die lokale Workstation beschränkt. In Azure kann eine ungepatchte virtuelle Maschine als Rebound für ein hybrides Netzwerk dienen. Office-365-Abonnements hingegen können zu einem Office-Heap-Überlauf führen; eine einzige auf OneDrive freigegebene Datei reicht aus, um einen ganzen Mandanten zu kompromittieren. Auf einer RDS-Farm, die Geschäftsanwendungen hostet, bedroht die DirectX-Sicherheitslücke die für CAD verwendeten Grafikserver. CISOs berechnen die Auswirkungen: Produktionsstillstand, Datenverlust, SLA-Abweichung. In Lyon fror ein Videospiel-Publisher seine Build-Pipeline ein, nachdem ein schlecht angewendeter Patch die Kompilierung in Visual Studio blockierte – besser eine Pause als Quellcode-Diebstahl. Die Herausforderung besteht darin, Verfügbarkeit und Sicherheitsdringlichkeit in Einklang zu bringen, ohne die CI/CD-Ketten zu unterbrechen. Best Practices: Defender, Active Directory, Edge und Exchange Sobald die Patches installiert sind, ist kontinuierliche Wachsamkeit gefragt. Defender muss in den Cloud-Modus gezwungen werden, mit einem Blockierungsschwellenwert mit hoher Konfidenz. In Active Directory , NTLM v1-Überwachung ist aktiviert, um alle schwachen Rückverhandlungsversuche zu erkennen. GPOs erzwingen dann NTLM v2 oder Kerberos. Auf der Beitragsseite,

Rand

empfängt den stabilen Kanal 129.3, um ein Speicheradressenleck in der JavaScript-Engine zu schließen; Die automatische Aktualisierung ist ausreichend, muss jedoch per PowerShell-Skript überprüft werden. An

Austausch 2022 stoppt die Deaktivierung des Servergrafik-Renderings die mögliche Ausnutzung von DirectX auf der Backend-Seite. Schließlich ermöglicht ein Notfall-Runbook die Wiederherstellung von unveränderlichen Snapshots im SAN-Speicher, um die durchschnittliche Wiederherstellungszeit zu verkürzen. Jede Geste zählt: 30 eingesparte Minuten sind oft ein vermiedener Kostenfaktor.Der folgende Clip zeigt in weniger als zwei Minuten die Schritt-für-Schritt-Konfiguration einer NTLM-Blockade per GPO. Um die Entwicklung der Ausnutzungsversuche zu verfolgen, finden Sie hier den Echtzeit-Feed der Sicherheits-Community. Quelle:

blog.talosintelligence.com