Mit mehr als 170 geschlossenen Sicherheitslücken ist Microsofts Patchday diesen Monat überdurchschnittlich umfangreich ausgefallen. Gleich 17 Fixes für kritische Lücken stehen unter anderem für Azure, Copilot, Office sowie den Windows Server Update Service (WSUS) bereit. Überdies machen drei aktiv angegriffene Schwachstellen mit „Important“-Einstufung das (bestenfalls automatische) Einspielen der verfügbaren Updates besonders dringlich.

Aktive Exploits…

Aktive Exploits zielen laut Microsofts zugehörigen Advisories auf den Windows Remote Access Connection Manager (CVE-2025-59230, CVSS-Score 7.8) einen alten Agere-Modemtreiber (CVE-2025-24990, 7.8) sowie das Linux-basierte, auf Windows-Systemen nutzbare IGEL OS (CVE-2025-47827, 4.6).

Den Remote Access Connection Manager sichert ein Patch künftig gegen lokale Angreifer ab, die über die Lücke ihre Zugriffsrechte hätten ausweiten können. Der Agere-Treiber (ltmdm64.sys) wurde laut Sicherheitshinweis komplett entfernt – und mit ihm eine weitere Möglichkeit lokal zugreifender Bösewichte, schlimmstenfalls Admin-Rechte zu erlangen.

Der physischen Zugriff voraussetzende und deshalb auch lediglich mit „Medium“ bewertete Angriffsweg über IGEL OS wurde durch ein zum Patchday mitgeliefertes Update des Linux-Betriebssystems versperrt. Die Exploit-Möglichkeit dürfte aber auch im Vorfeld eher wenige, speziell konfigurierte Systeme betroffen haben.

… und kritische Lücken

Folgende frisch gepatchte Lücken stuft Microsoft als kritisch ein:

Die höchsten CVSS-Scores wurden in diesem Zusammenhang den Schwachstellen CVE-2025-59246 in Azure Entra ID, CVE-2025-59287 im WSUS (jeweils 9.8 von 10) sowie CVE-2025-49708 in einer Windows-Grafikkomponente (9.9) zugewiesen.

Zahlreiche Sicherheitslücken könnten unter bestimmten Voraussetzungen als Einfallstor zum Ausführen schädlichen Programmcodes aus der Ferne missbraucht werden (Remote Code Execution) – und damit etwa zum Einschleusen von Schadcode wie Ransomware oder zum Fernsteuern verwundbarer Systeme.

Weitere Patches & Informationen

Viele der weiteren verfügbaren Updates hat Microsoft als „Important“ markiert beziehungsweise mit der Einstufung „High“ versehen. Sie zielen unter anderem auf das .NET-Framework, diverse Office-Komponenten, PowerShell und den Betriebssystemkern.

Detaillierte Informationen zu sämtlichen Sicherheitslücken und Patches führt Microsoft im Security Update Guide auf.

(ovw)

Eine neue Forschungsarbeit mit dem Titel „Poisoning attacks on LLMs require a near-constant numer of poison samples“ stellt eine wichtige Annahme zur Sicherheit großer KI-Sprachmodelle infrage. Die bei arXiv veröffentlichte Studie, die in Zusammenarbeit des UK AI Security Institute, Anthropic und des Alan Turing Institute entstand, kommt zu einem alarmierenden Ergebnis: Es kommt nicht auf den prozentualen Anteil an, sondern auf die absolute Zahl der vergifteten Dokumente – und diese Zahl ist verblüffend niedrig.

Das Experiment: Gift für Modelle von 600M bis 13B

Die Forscher führten nach eigenen Angaben die bisher größten Experimente zu Data Poisoning während des Pre-Trainings durch. Um realistische Bedingungen zu schaffen, trainierten sie Modelle verschiedener Größen – von 600 Millionen bis 13 Milliarden Parametern – von Grund auf. Die Größe des Trainingsdatensatzes haben die Forscher entsprechend der „Chinchilla-optimalen“ Regel mit der Modellgröße skaliert – dabei wird das Verhältnis von Modellgröße (Parametern) und der Menge an Trainingsdaten (Tokens) möglichst effizient aufeinander abgestimmt.

Das größte Modell wurde also auf über 20-mal mehr sauberen Daten trainiert als das kleinste. Als Angriffsszenario wählten die Forscher eine sogenannte „Denial-of-Service“-Hintertür (Backdoor). Das Ziel: Sobald das Modell auf ein bestimmtes Trigger-Wort (im Paper ) stößt, soll es seine normale Funktion einstellen und nur noch unsinnigen Text („Gibberish“) ausgeben. Um dies zu erreichen, wurden dem Trainingsdatensatz manipulierte Dokumente beigemischt, die genau diese Assoziation herstellen.

Erkenntnis: wenige Dokumente reichen

Die zentrale Erkenntnis der Studie ist, dass die für einen erfolgreichen Angriff benötigte Anzahl an vergifteten Dokumenten nicht mit der Größe des Modells oder des Datensatzes ansteigt. Die Experimente zeigten, dass bereits 250 Dokumente ausreichten, um in allen getesteten Modellgrößen zuverlässig eine funktionierende Hintertür zu implementieren, während 100 Beispiele noch keine robuste Wirkung zeigten. Selbst das 13-Milliarden-Parameter-Modell, das auf einem 260 Milliarden Token umfassenden Datensatz trainiert wurde, fiel auf diese geringe Anzahl herein. Diese 250 Dokumente machten gerade einmal 0,00016 % der gesamten Trainings-Tokens aus, was zeigt, dass die immense Menge an sauberen Daten die Wirkung des Gifts nicht neutralisieren konnte.

Die Forschenden vermuten, dass gerade die hohe Lerneffizienz großer Modelle sie anfällig macht. Sie sind so gut darin, Muster zu erkennen, dass sie auch selten vorkommende, aber konsistente Muster verinnerlichen – wie die durch die vergifteten Daten eingeführte Backdoor. Diese Ergebnisse wurden laut dem Team zudem für die Phase des Fine-Tunings bestätigt. In einem weiteren Experiment wurde das Modell Llama-3.1-8B-Instruct darauf trainiert, schädliche Anweisungen auszuführen, wenn ein Trigger-Wort verwendet wird. Auch hier war die absolute Anzahl der vergifteten Beispiele der entscheidende Faktor für den Erfolg, selbst wenn die Menge der sauberen Daten um den Faktor 100 erhöht wurde.

Sicherheitsparadigma: Annahmen auf dem Prüfstand

Die Schlussfolgerung der Studie verkehrt die bisherige Sicherheitslogik ins Gegenteil: Je größer und datenhungriger KI-Modelle werden, desto „einfacher“ wird ein Angriff durch Datenvergiftung. Während die Angriffsfläche (das öffentliche Internet) wächst, bleibt der Aufwand für den Angreifer – die Erstellung von einigen Hundert Dokumenten – nahezu konstant. Das stellt KI-Entwickler vor neue Herausforderungen.

Sich auf die schiere Größe von Trainingsdatensätzen als passiven Schutz zu verlassen, wäre demnach nicht mehr haltbar. Entwickler müssen sich daher auf aktive Verteidigungsmaßnahmen konzentrieren, statt sich auf die Datenmenge zu verlassen. Dies umfasst beispielsweise eine striktere Filterung der Trainingsdaten, die Anomalieerkennung im Trainingsprozess und die nachträgliche Analyse der Modelle auf versteckte Hintertüren.

Sofern sich die Ergebnisse bestätigen, wäre die Ansicht, dass das Vergiften von KI-Daten wie „ins Meer pinkeln“ sei, wissenschaftlich widerlegt. Ein einzelner Akteur benötigt keine riesigen Ressourcen, um Schaden anzurichten. Großangelegte Desinformationskampagnen, wie das russische „Pravda“-Netzwerk, das gezielt Propaganda in die Trainingsdaten von KI-Modellen einschleusen will, wären dadurch bedrohlicher als gedacht. Wenn bereits 250 Dokumente eine nachweisbare Wirkung haben, wäre das Schadenspotenzial solcher Kampagnen immens.

(vza)

Heute endet der Herstellersupport für Microsoft Office 2016 und 2019 – und stellt damit viele kleine Unternehmen in Deutschland vor ein Sicherheitsrisiko. Laut der aktuellen KMU-Studie des Groupware- und Security-Anbieters Intra2net erhalten nun 77 Prozent dieser Betriebe keine Sicherheitsupdates mehr für ihr Office-Paket.

Grund dafür ist die schleppende Migration auf aktuelle Versionen: Office 2016 und 2019 sind mit einer Installationsquote von 65 Prozent weiterhin die dominierenden On-Premises-Pakete, folglich stehen Nutzer jetzt unter unmittelbarem Handlungsdruck. Auffällig ist, dass der Marktanteil von Office 2016 im vergangenen Jahr stabil geblieben ist, während weitere 12 Prozent der Unternehmen sogar noch ältere Versionen wie Office 2010 oder 2013 einsetzen, die seit Jahren ohne Support laufen. Ihr Anteil ging seit einem Jahr ebenfalls nur knapp zurück.

Die Studie zeigt, dass bei einem Wechsel zumeist direkt auf Office 2024 migriert wird. Das neueste On-Premises-Paket kommt derzeit auf einen Marktanteil von 8 Prozent, hauptsächlich durch Umsteiger aus Office 2019. Office 2021 spielt hingegen bei aktuellen Migrationen kaum noch eine Rolle, die Suite konnte sich nicht etablieren.

Nicht nur Office

Intra2net-Vorstand Steffen Jarosch sieht dringenden Handlungsbedarf: „Die Ergebnisse sind alarmierend, aber keine Überraschung. Viele kleine Unternehmen haben die letzten zwölf Monate nicht genutzt, um ihr Office-Paket rechtzeitig zu aktualisieren. Zusammen mit dem Supportende von Windows 10 entsteht ein massiver Migrationsdruck – zumal Microsoft für Office keine kostenpflichtige Übergangslösung mit erweiterten Sicherheitsupdates anbietet.“

Neben MS Office und Windows 10 steht Nutzern außerdem mit dem Supportende von Exchange 2016 sowie 2019 aktuell weiterer dringender Migrationsaufwand an. Für die Analyse wertete Intra2net im September 2025 Daten aus 1.567 PC-Arbeitsplätzen in 104 deutschen Unternehmen mit jeweils 10 bis 49 Mitarbeitern aus. Berücksichtigt wurden dabei ausschließlich Betriebe ohne Hosted Exchange oder Microsoft 365. Informationen zur Studie finden sich hier.

(fo)