Der erste Patch Tuesday in diesem Jahr fiel auf diese Woche, und er brachte eine ganze Reihe von Sicherheitsupdates mit sich: Nicht weniger als 159 Sicherheitslücken wurden geschlossen.

Es ist nicht nur daher wichtig, die Updates so schnell wie möglich zu installieren, sondern 8 der 159 Schwachstellen waren sogenannte Zero-Day-Schwachstellen, und drei von ihnen werden bereits aktiv von Cyberkriminellen bei Angriffen auf bestimmte Systeme genutzt. Von den 159 Schwachstellen werden 12 als kritisch eingestuft, so dass sie so schnell wie möglich gepatcht werden müssen - sie ermöglichen die Ausführung von Remote-Code, die Ausweitung von Berechtigungen oder den Verlust von Informationen.

Die folgende Liste zeigt auch, wie die einzelnen Schwachstellen verteilt sind:

Die 8 Zero-Day-Schwachstellen CVE-2025-21333 , CVE-2025-21334 und CVE-2025-21335 werden bereits aktiv von Cyberkriminellen für ihre Angriffe genutzt. Diese Schwachstellen sind alle Teil der Windows Hyper-V NT Kernel Integration VSP-Komponente, wo sie eine Privilegienerweiterung ermöglichen, d. h. sie erlauben es einem Angreifer, Privilegien auf SYSTEM-Ebene auf einem Windows-basierten Gerät zu erlangen. Es ist noch nicht bekannt, wie die Angreifer die Schwachstellen genau ausnutzen werden, aber es ist sehr wahrscheinlich, dass alle drei Schwachstellen erfolgreich genutzt werden.

Von den 5 verbleibenden Zero-Day-Schwachstellen ermöglicht diejenige, die unter CVE-2025-21275 läuft, eine Erhöhung der Berechtigung für Windows App Package Installer aufgrund von Fehlern bei der Behandlung von Berechtigungen, wodurch ein Angreifer SYSTEM-Rechte erlangen könnte.

Der nächste in der Reihe ist CVE-2025-21308 , der mit der Windows-Themenfunktion zusammenhängt und über ein speziell gestaltetes Thema ausgenutzt werden kann, indem die Datei einfach im Windows Explorer angezeigt wird. Wenn der ahnungslose Benutzer die Themadatei anzeigt, sendet Windows automatisch eine Authentifizierungsanfrage an den Remote-Server, die wiederum die NTLM-Anmeldedaten des angemeldeten Benutzers enthält. Die erhaltenen NTLM-Hashes können von Angreifern geknackt werden, um sich im Klartext Zugang zu verschaffen, oder sie können für einen Pass-the-Hash-Angriff verwendet werden. Laut Microsoft können die negativen Auswirkungen der Sicherheitslücke durch Deaktivieren von NTLM oder Aktivieren der Richtlinie "Restrict NTLM: Outgoing NTLM Traffic to remote servers" vermieden werden.

Die folgenden drei Sicherheitsanfälligkeiten, die der Reihe nach unter CVE-2025-21186 , CVE-2025-21366 und CVE-2025-21395 zu finden sind, stehen im Zusammenhang mit Microsoft Acces und ermöglichen Remotecodeausführung. Die Sicherheitslücken können von Angreifern ausgenutzt werden, indem sie speziell gestaltete Microsoft Access-Dokumente an die Zielpersonen übermitteln. Um die Angriffsfläche zu verringern, hat das Microsoft-Team beschlossen, den Zugriff auf die folgenden Microsoft Access-Dateiformate zu deaktivieren, wenn die Dokumente als E-Mail-Anhänge empfangen und von dort aus geöffnet werden:

Das Interessanteste an diesen drei Sicherheitslücken ist, dass sie von Unpatched.ai , einer KI-gestützten Plattform zur Erkennung von Sicherheitslücken, entdeckt wurden.

Unter den neuen Updates gibt es zwei Pakete für Windows 11, eines mit der Bezeichnung KB5050009 und eines mit der Bezeichnung KB5050021, während Windows 10-Nutzer durch die Version KB50448652 gefährdet sind. Alle aufgelisteten Updates sind kumulativ, d.h. zusammenfassend, d.h. sie enthalten einen Patch für jede Sicherheitslücke.