Microsoft-Patchday: Zero-Day-Lücke im Windows-Kernel aktiv ausgenutzt

Microsoft hat im November 2025 insgesamt 63 Sicherheitslücken geschlossen – darunter eine kritische Zero-Day-Schwachstelle im Windows-Kernel, die bereits aktiv angegriffen wird. IT-Administratoren sollten jetzt handeln: Die Updates betreffen Windows 10 und 11, Office, SQL Server und Visual Studio.

Zwar fällt das November-Update mit 63 geschlossenen Lücken deutlich kleiner aus als die Oktober-Ausgabe mit 172 Patches. Doch die Brisanz der aktuellen Schwachstellen lässt IT-Sicherheitsteams aufhorchen. Besonders brisant: 29 der Patches beheben Schwachstellen zur Rechteausweitung, 16 weitere schließen Lücken für Remote Code Execution. Vier Schwachstellen stuft Microsoft als „kritisch” ein – die höchste Gefahrenstufe.

Für Windows-10-Nutzer markiert dieser Patchday zudem eine Zäsur: Es ist das erste Sicherheitsupdate nach dem offiziellen Support-Ende am 14. Oktober 2025. Wer die kritischen Patches erhalten möchte, muss am kostenpflichtigen Extended Security Updates-Programm (ESU) teilnehmen.

Passend zum Thema IT-Sicherheit: Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind. Unser kostenloses E‑Book „Cyber Security Awareness Trends“ erklärt IT‑Verantwortlichen, welche aktuellen Bedrohungen – von Zero‑Day‑Exploits bis zu Ransomware – wirklich relevant sind und welche praktischen Schutzmaßnahmen sich sofort umsetzen lassen. Inklusive konkreter Tipps zu Monitoring, Patch‑Management und Awareness‑Maßnahmen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Die dringlichste Baustelle trägt die Kennung CVE-2025-62215: eine Schwachstelle im Windows-Kernel, die Angreifern eine Rechteausweitung ermöglicht. Microsoft bestätigt, dass diese Zero-Day-Lücke bereits aktiv ausgenutzt wird. Das Problem liegt in einer Race Condition – einem Fehler bei der Synchronisation gleichzeitiger Prozesse.

Gelingt die Ausnutzung, können Angreifer mit lokalem Systemzugriff vollständige SYSTEM-Rechte erlangen. Microsoft bewertet die Lücke mit einem CVSS-Score von 7.0 als „wichtig”, nicht als kritisch – die hohe Komplexität der Ausnutzung senkt die formale Einstufung. Dennoch warnen Sicherheitsexperten eindringlich: Solche Schwachstellen dienen Angreifern oft als zweite Angriffsstufe, um nach einer Erstinfektion die vollständige Kontrolle zu übernehmen, Sicherheitssoftware zu deaktivieren und sich im Netzwerk auszubreiten.

Entdeckt wurde die Lücke von Microsofts eigenem Threat Intelligence Center (MSTIC) und Security Response Center (MSRC). Die US-Cybersicherheitsbehörde CISA hat CVE-2025-62215 bereits in ihren Katalog bekannter ausnutzbarer Schwachstellen aufgenommen – Bundesbehörden müssen bis zum 3. Dezember 2025 patchen.

Kritische Lücke in Grafikkomponente ermöglicht Codeausführung

Die höchstbewertete Schwachstelle des Monats ist CVE-2025-60724: eine Remote-Code-Execution-Lücke in der Microsoft Graphics Component (GDI+) mit einem CVSS-Score von 9.8 von 10 Punkten. Dieser Heap-basierte Pufferüberlauf könnte nicht authentifizierten Angreifern ermöglichen, beliebigen Code auszuführen – einfach indem sie Nutzer dazu bringen, ein Dokument mit einer manipulierten Bilddatei zu öffnen.

Eine weitere kritische Schwachstelle bedroht Microsoft Office: CVE-2025-62199 erlaubt ebenfalls Remote Code Execution. Besonders perfide: Die Lücke lässt sich mit geringer Komplexität und ohne besondere Rechte ausnutzen. Ein Angriff kann bereits ausgelöst werden, wenn ein Nutzer eine bösartige Datei im Outlook-Vorschaufenster betrachtet. Weitere kritische Lücken wurden in Nuance PowerScribe und Microsoft Visual Studio geschlossen.

Treiber und Subsysteme im Visier

Microsoft hat mehrere Schwachstellen in zentralen Windows-Treibern und Subsystemen behoben – Bereiche, die Angreifer häufig ins Visier nehmen, um tieferen Systemzugriff zu erlangen. Fünf Schwachstellen stuft Microsoft als „wahrscheinlich ausnutzbar” ein, darunter drei separate Lücken im Windows Ancillary Function Driver für WinSock (CVE-2025-60719, CVE-2025-62213 und CVE-2025-62217). Angesichts der fundamentalen Rolle dieses Treibers für die Windows-Netzwerkfunktionalität gelten diese Schwachstellen als hochriskant.

Zusätzliche Patches betreffen das Windows Subsystem for Linux GUI (WSLg), Windows Kerberos, das Common Log File System Driver und den DirectX Graphics Kernel. Die Bandbreite reicht von Remote Code Execution in WSLg bis zur Rechteausweitung im DirectX-Kernel.

Weniger Lücken, aber höhere Brisanz

Auch wenn die Zahl von 63 geschlossenen Schwachstellen deutlich unter den 172 Patches vom Oktober liegt – die Qualität der Bedrohungen bleibt hoch. Die aktiv ausgenutzte Zero-Day-Lücke in einer Kernkomponente wie dem Windows-Kernel zeigt, wie persistent und ausgeklügelt moderne Angriffe sind.

Sicherheitsexperten betonen: Schwachstellen zur Rechteausweitung wie CVE-2025-62215 sind entscheidende Bausteine moderner Angriffsketten. Der Erstzugriff erfolgt oft über weniger schwerwiegende Methoden wie Phishing. Doch erst die Möglichkeit, Rechte auf SYSTEM-Ebene auszuweiten, erlaubt Angreifern die vollständige Kompromittierung eines Systems. Dass über 70 Prozent der diesmonatigen Patches Rechteausweitung und Remote Code Execution betreffen, unterstreicht die anhaltende Bedrohungslage.

Sofortiges Handeln gefordert

IT-Sicherheitsteams sollten die November-Updates unverzüglich ausrollen. Höchste Priorität haben die aktiv ausgenutzte Windows-Kernel-Lücke CVE-2025-62215 und die kritische RCE-Schwachstelle in der Microsoft Graphics Component CVE-2025-60724. Auch Systeme mit Microsoft Office und dem Windows Ancillary Function Driver für WinSock gehören ganz oben auf die Prioritätenliste.

Organisationen sollten ihre Systeme auf Anzeichen von Exploitationsversuchen überwachen, insbesondere im Zusammenhang mit der bekannten Zero-Day-Lücke. Je mehr Details über die Schwachstellen öffentlich werden, desto wahrscheinlicher wird eine breitere Ausnutzung durch weitere Angreifer. Allen Nutzern wird dringend empfohlen, Windows Update auszuführen und die notwendigen Patches zeitnah zu installieren.

PS: IT‑Sicherheit stärken ohne teure neue Mitarbeiter – gerade jetzt, wenn Zero‑Day‑Exploits und kritische RCE‑Lücken aufgedeckt werden. Unser Gratis‑E‑Book zeigt schnell umsetzbare Maßnahmen zu Patch‑Management, Monitoring und Mitarbeitersensibilisierung, die kleine und mittlere IT‑Teams sofort implementieren können. Praktische Checklisten und Priorisierungs‑Tipps helfen, die wichtigsten Schwachstellen zuerst zu schließen. Jetzt kostenloses Cyber-Security-E-Book anfordern