Der Cybersicherheitsanbieter BeyondTrust hat die zwölfte Ausgabe seines alljährlichen “Microsoft Vulnerabilities Report” vorgelegt. Mit einer Gesamtzahl von 1.360 Schwachstellen führt der diesjährige Bericht so viele Sicherheitslücken in Microsoft-Systemen auf wie noch nie zuvor. Gegenüber dem bisherigen Rekordjahr 2022 entspricht das einem Anstieg von elf Prozent.
Der Report schlüsselt die Microsoft-Vulnerabilities nach Produkt sowie Schwachstellen-Kategorie auf. Trotz kontinuierlich verbesserter Sicherheitsvorkehrungen nutzen Angreifer weiterhin in hohem Umfang kritische Anfälligkeiten aus.
Erkenntnisse dieser Ausgabe im Überblick:
- Das Jahr 2024 verzeichnete 587 Windows-Schwachstellen, von denen 33 kritisch waren.
- Unter Windows Server gab es 2024 insgesamt 684 Schwachstellen, von denen 43 als kritisch bewertet wurden.
- Für Microsoft Office wurden im Jahr 2024 insgesamt 62 Anfälligkeiten registriert — fast eine Verdopplung gegenüber dem Vorjahr.
- Die Schwachstellenkategorie „Erhöhung von Berechtigungen“ bleibt mit 40 Prozent (554) aller erfassten Schwachstellen das größte Sicherheitsrisiko.
- Die Zahl der kritischen Anfälligkeiten insgesamt ist 2024 im gesamten Microsoft-Ökosystem weiter zurückgegangen.
- Bei Microsofts Browser Edge stieg die Zahl der Schwachstellen um 17 Prozent auf insgesamt 292, von denen neun als „kritisch“ einzustufen sind. Zwei Jahre zuvor wurden gar keine kritischen Anfälligkeiten gemeldet.
- Die identifizierten Sicherheitslücken bei der Cloud-Computing-Plattform Azure und beim Cloud-basierten ERP-System Dynamics 365 bewegen sich weiterhin auf dem hohen Niveau der Vorjahre.
Die aktuelle Reportausgabe trifft folgende Vorhersagen:
- Ungepatchte Systeme bleiben ein leichtes Ziel und öffnen die Tür für weiterführende Kompromittierungen.
- Der expandierende Tech-Stack von Microsoft (einschließlich Cloud- und KI-Diensten) schafft immer neue Angriffsflächen.
- Patchen allein reicht nicht aus – Aktualisierungen können fehlschlagen oder zu neuen Stabilitätsrisiken führen, was wiederum die Notwendigkeit einer mehrschichtigen Sicherheitsstrategie unterstreicht.
- Bedrohungsakteure passen ihre Taktiken an und nehmen zunehmend digitale Identitäten und Privilegien ins Visier, anstatt lediglich herkömmliche Exploits auszunutzen.
Trotz einer sich dynamisch verändernden Bedrohungslandschaft bleiben manche Sicherheitserkenntnisse unverändert:
- Software-Schwachstellen sind unvermeidbar.
- Die Durchsetzung des Prinzips der geringsten Privilegien (Principle of Least Privilege, PoLP) ist nach wie vor eine der effektivsten Strategien zur Risikominderung — selbst bei Zero-Day- und Reverse-Engineering-Patches.
Download des Microsoft Vulnerabilities Report 2025, gratis nach Registrierung