Mit 111 geschlossenen Sicherheitslücken liefert Microsoft den bisher größten August-Patchday seit 2020. Zwölf der Schwachstellen sind als „kritisch“ eingestuft, zahlreiche weitere tragen CVSS-Werte von 8.0 oder höher. Die Angriffsoberfläche reicht von Windows-Kernkomponenten über Office und SharePoint bis zu Hyper-V, NTLM, SQL Server und Azure Stack Hub. Eine Sicherheitslücke war zum Zeitpunkt der Veröffentlichung bereits öffentlich bekannt, eine aktive Ausnutzung ist laut Microsoft aber noch nicht belegt.
GDI+ und Windows Graphics Component öffnen riskante Bildpfade
CVE-2025-53766 und CVE-2025-50165 erreichen beide einen CVSS-Score von 9.8 und ermöglichen Remote Code Execution (RCE) allein durch das Laden manipulierter Bild- oder Metadateien. In GDI+ genügt der Aufruf einer präparierten Webseite oder der Empfang einer entsprechend konstruierten Datei. Die Windows Graphics Component wird bereits bei der Anzeige eines bösartigen Bildes kompromittiert. Aufgrund der tiefen Integration dieser Bibliotheken in unterschiedlichste Anwendungen ist das Risiko breit gestreut.
Office bleibt mit Vorschaufenster-SChwachstelle ein Dauerproblem
CVE-2025-53731 und CVE-2025-53740 haben beide je einen CVSS-Score von 8.4. Die Schwachstellen erlauben Schadcodeausführung allein durch die Anzeige im Vorschaufenster, ebenso wie CVE-2025-53733 und CVE-2025-53784 – ebenfalls je einen CVSS-Score von 8.4 – in Word. Der Angriffsweg benötigt keine aktive Öffnung der Datei, was die Erkennung erschwert. Daneben existieren RCEs, die beim direkten Öffnen präparierter Dateien greifen – etwa CVE-2025-53732, CVE-2025-53730 und CVE-2025-53734, die jeweils einen CVSS-Score von 7.8 haben, sowie in Excel CVE-2025-53735, CVE-2025-53737, CVE-2025-53739, CVE-2025-53741 und CVE-2025-53759, die ebenfalls je einen CVSS-Score von 7.8 erreichen. Diese Sicherheitslücken zeigen, dass Cyberangriffe auf Office-Dokumente sowohl passiv als auch aktiv ausgelöst werden können.
SharePoint, Web Deploy und RRAS mit netzwerkbasierten RCEs
Die Schwachstelle CVE-2025-49712 (CVSS-Score 8.8) in SharePoint erlaubt Codeausführung nach Authentifizierung und kann Teil einer mehrstufigen Angriffskette sein, wenn ein Authentifizierungs-Bypass vorausgeht. Und die Sicherheitslücke CVE-2025-53772 (CVSS-Score 8.8) in Web Deploy erfordert keine Anmeldung, ein präpariertes HTTP-Paket genügt, um Code auf dem Zielsystem auszuführen. In den Routing- und RAS-Diensten fallen CVE-2025-49757, CVE-2025-50163 (beide CVSS-Score 8.8) und CVE-2025-50164 (CVSS-Score 8.0) auf: Sie lassen sich durch den Verbindungsaufbau zu einem kompromittierten RRAS-Server auslösen und ermöglichen volle Codeausführung.
Hyper-V und NTLM unter sicherheitskritischer Beobachtung
Die Schwachstelle CVE-2025-48807 (CVSS-Score 7.5) in Hyper-V ermöglicht es, aus einer virtuellen Maschine heraus Code auf dem Hostsystem auszuführen. Eine weitere Schwachstelle – CVE-2025-49707 (CVSS-Score 7.9) – erlaubt Spoofing bei der Kommunikation zwischen virtuellen Maschinen und externen Systemen, CVE-2025-53781 (CVSS-Score 7.7) gibt vertrauliche Hypervisor-Daten preis. Besonders bemerkenswert ist die Sicherheitslücke CVE-2025-53778 (CVSS-Score 8.8) in NTLM: Sie erlaubt es einem authentifizierten Angreifer, seine Rechte über das Netzwerk zu erweitern, eine ungewöhnliche und für dieses Protokoll besonders problematische Angriffsmöglichkeit.
SQL Server mit mehrfachen Privilegieneskalationen
Fünf Schwachstellen mit je einem CVSS-Score von 8.8 ermöglichen die Eskalation auf Sysadmin-Rechte. Angreifer mit geringen Berechtigungen können so vollständige Kontrolle über die Datenbank und deren Hostsystem erlangen. In einigen Fällen sind neben den Updates zusätzliche Konfigurationsanpassungen erforderlich, um die Systeme vollständig abzusichern. Diese Schwachstellen sind:
CVE-2025-24999
CVE-2025-47954
CVE-2025-49758
CVE-2025-49759
CVE-2025-53727
MSMQ, Exchange und weitere Komponenten mit hohen Werten
In Microsoft Message Queuing treten drei kritische RCE-Schwachstellen auf – CVE-2025-53143, CVE-2025-53144 und CVE-2025-53145 mit jeweils einem CVSS-Score von 8.8. Sie ermöglichen eine Codeausführung über präparierte MSMQ-Pakete. CVE-2025-53786 (CVSS-Score 8.0) in Exchange Server erlaubt die Ausweitung von Rechten bis zur administrativen Kontrolle. Azure Stack Hub weist mit CVE-2025-53793 (CVSS-Score 7.5) ein Informationsleck auf, das über das Netzwerk ausnutzbar ist und administrative Zugangsdaten preisgeben kann.
Weitere relevante Schwachstellen knapp unter der kritischen Schwelle
Mehrere CVEs bewegen sich knapp unter dem CVSS-Score 8.0, besitzen aber aufgrund ihrer Angriffsart hohe Relevanz. Dazu zählen
CVE-2025-50176 (CVSS-Score 7.8) im DirectX Graphics Kernel mit RCE-Potenzial bei authentifizierten Angriffen,
CVE-2025-53152 (CVSS-Score 7.8) in Desktop Windows Manager mit Remote-Code-Ausführung,
CVE-2025-53149 (CVSS-Score 7.8) in Kernel Streaming WOW Thunk Service Driver mit Privilegieneskalation,
CVE-2025-53154 (CVSS-Score 7.8) in Windows Ancillary Function Driver und
CVE-2025-50170 (CVSS-Score 7.8) im Windows Cloud Files Mini Filter Driver.
All diese Schwachstellen ermöglichen Angriffe mit erhöhten Rechten.
Fazit
Die August-Patches verteilen sich auf ein breites Spektrum kritischer und hochbewerteter Schwachstellen. Zwei RCEs mit CVSS-Scores von 9.8 in GDI+ und der Windows Graphics Component bilden die Spitze, gefolgt von Office-Vorschaufenster-Fehlern, SharePoint, Web Deploy, Hyper-V, NTLM, SQL Server, MSMQ und Azure Stack Hub. Aufgrund der Mischung aus Zero-Click-Exploits, netzwerkbasierten Angriffen und komplexen Serverlücken ist eine priorisierte, aber umfassende Aktualisierung der Systeme notwendig.
