Agere-Modem-Treiber: Zombie-Schwachstelle bedroht Windows-Systeme

Ein als längst überholt geglaubter Fax-Modem-Treiber hat sich 2025 zu einer der gefährlichsten Sicherheitslücken entwickelt. Trotz drastischer Gegenmaßnahmen von Microsoft bleibt die Schwachstelle in alten Systemen aktiv.

Die Sicherheitslücke CVE-2025-24990 im Agere-Modem-Treiber ltmdm64.sys ermöglicht Angreifern die vollständige Übernahme von Windows-Systemen. Obwohl Microsoft den fehlerhaften Treiber bereits im Oktober entfernte, nutzen Cyberkriminelle die “Zombie”-Komponente weiterhin für Angriffe auf ungepatchte Rechner. Sicherheitsexperten warnen eindringlich vor dieser Bedrohung, die besonders Unternehmen mit veralteter Infrastruktur trifft.

Angriff mit historischem Treiber

Im Kern der Krise steht ein Treiber für Fax-Modeme des Herstellers Agere Systems – eine Technologie, die in modernen Computern kaum noch Verwendung findet. Paradoxerweise wurde dieser Treiber bis vor kurzem standardmäßig mit Windows 10, Windows 11 und Windows Server 2025 ausgeliefert, um Kompatibilität mit alter Hardware zu gewährleisten.

Die Schwachstelle gehört zur Kategorie der “untrusted pointer dereference”-Fehler. Vereinfacht gesagt: Der Treiber akzeptiert und verarbeitet Speicheradressen, die von Nutzern stammen, ohne diese ausreichend zu überprüfen. Da der Treiber mit höchsten Systemrechten arbeitet, kann ein erfolgreicher Angriff lokalen Nutzern mit eingeschränkten Rechten plötzlich Administrator-Zugriff verschaffen.

Viele Unternehmen sind auf Cyberangriffe nicht ausreichend vorbereitet. Die Ausnutzung alter, signierter Treiber wie CVE-2025-24990 zeigt, wie schnell Angreifer kritische Systeme kompromittieren können. Unser kostenloses E‑Book erklärt praxisnahe Schutzmaßnahmen, Priorisierung von Patches, Compliance‑Hinweise und eine konkrete Checkliste zur Erkennung gefährlicher Treiber‑Funktionen. Ideal für IT‑Verantwortliche, die Lücken schnell schließen müssen. Jetzt kostenlosen Cyber‑Security‑Leitfaden herunterladen

Das Gefährliche: Der Angriff benötigt keine Interaktion des Nutzers. Für Hacker, die bereits über eine Phishing-Mail Zugang zu einem Netzwerk erlangt haben, ist diese Lücke daher das perfekte Werkzeug, um ihre Rechte zu erweitern und beispielsweise Ransomware zu installieren oder sensible Daten zu stehlen.

Microsofts radikale Lösung: Löschen statt reparieren

Microsoft reagierte im Oktober 2025 ungewöhnlich entschlossen. Statt den alten Treiber mit einem Update zu reparieren, entfernte das Unternehmen die Datei ltmdm64.sys komplett aus allen unterstützten Systemen. Diese “nukleare Option” zeigt, wie schwer die Wartung jahrzehntealter Code-Bestandteile inzwischen geworden ist.

Doch die radikale Lösung hat eine gefährliche Schattenseite: Systeme, die das Oktober-Update nicht installiert haben – sei es aus Sorge um die Kompatibilität alter Fax-Hardware oder aus Nachlässigkeit – bleiben schutzlos. Die US-Cybersicherheitsbehörde CISA hatte die Schwachstelle bereits früher im Quartal in ihren Katalog bekannter, ausgenutzter Sicherheitslücken aufgenommen und Bundesbehörden zur Behebung bis November verpflichtet. Im privaten Sektor hingegen ist die Umsetzung lückenhaft.

Aktive Bedrohung und verwandte Schwachstellen

Auch Ende Dezember 2025 scannen Angreifer weiterhin aktiv nach Systemen mit dem anfälligen Agere-Treiber. Oft kombinieren sie die Lücke mit einer weiteren Schwachstelle im selben Treiber (CVE-2025-24052), um ihre Erfolgschancen zu maximieren.

Sicherheitsfirmen beobachten einen besorgniserregenden Trend: Immer häufiger nutzen Hacker standardmäßig installierte, legitime Treiber für ihre Angriffe. Da der Agere-Treiber von Microsoft signiert ist und vom Betriebssystem als vertrauenswürdig eingestuft wird, umgeht er oft die Erkennung durch Antivirenprogramme – bis es zu spät ist.

Das Dilemma: Kompatibilität versus Sicherheit

Die anhaltende Gefahr durch den Agere-Treiber wirft grundsätzliche Fragen auf. Jahrelang priorisierte Microsoft die Abwärtskompatibilität, um Unternehmenskunden Stabilität zu garantieren. In der heutigen Bedrohungslage wird dieser Ansatz jedoch zunehmend problematisch.

Marktbeobachter vermuten, dass Microsofts Vorgehen – Löschen statt Reparieren – zum Blaupause für künftige Schwachstellen in veralteten Komponenten werden könnte. Anstatt Ressourcen für die Wartung von Treibern aufzuwenden, die weniger als ein Prozent der Nutzer benötigen, könnten Hersteller vermehrt auf deren Entfernung setzen. Dies verlagert die Verantwortung auf die Unternehmen, ihre Hardware-Abhängigkeiten genau zu kennen und zu managen.

Was Unternehmen jetzt tun müssen

Für IT-Administratoren gibt es eine klare Handlungsanweisung: Sie müssen prüfen, ob die Datei ltmdm64.sys im Verzeichnis C:WindowsSystem32drivers existiert. Ist dies der Fall, ist das System höchstwahrscheinlich angreifbar.

Der Blick auf das erste Quartal 2026 zeigt: Weitere “Breaking Changes” sind wahrscheinlich, bei denen die Unterstützung alter Hardware zugunsten der Systemsicherheit aufgegeben wird. Unternehmen, die noch auf physische Fax-Modeme angewiesen sind, sollten dringend auf Cloud-basierte Fax-Lösungen oder dedizierte Hardware umsteigen, die nicht auf die anfälligen Windows-Treiber angewiesen sind.

Die Lehre aus CVE-2025-24990 ist eindeutig: In der Cybersicherheit kann auch das gefährlich werden, was man nicht mehr aktiv nutzt. Die regelmäßige Säuberung von “digitalem Staub” – also veralteten und nicht mehr benötigten Treibern – ist heute keine bloße Hygienemaßnahme mehr, sondern eine essentielle Verteidigungsstrategie.

Übrigens: Viele erfolgreiche Angriffe starten mit einer einzigen Phishing‑Mail – wie im beschriebenen Fall, wo Angreifer zunächst per Phishing in ein Netzwerk gelangten. Das kostenlose Anti‑Phishing‑Paket zeigt in vier Schritten, wie Sie betrügerische E‑Mails erkennen, CEO‑Fraud und Business‑Email‑Compromise verhindern und Ihre Mitarbeiter effektiv schulen. Inklusive Szenarien, Vorlagen für Phishing‑Tests und konkreten Abwehrmaßnahmen. Jetzt Anti‑Phishing‑Paket gratis anfordern