Microsoft schließt 63 Sicherheitslücken – Kernel-Schwachstelle wird aktiv ausgenutzt

Microsoft liefert sich ein Wettrennen mit Cyberkriminellen: Das November-Update stopft 63 Sicherheitslücken, darunter eine Zero-Day-Schwachstelle im Windows-Kernel, die bereits aktiv für Angriffe missbraucht wird. IT-Administratoren weltweit stehen unter Druck, die Patches umgehend zu installieren – denn neben der Kernel-Lücke lauern mehrere kritische Schwachstellen, die Angreifern Tür und Tor öffnen könnten.

Die am 11. November veröffentlichten Updates betreffen ein breites Spektrum von Microsoft-Produkten: Windows, Office, Visual Studio, SQL Server und .NET. Besonders alarmierend: Die US-Cybersicherheitsbehörde CISA hat die Kernel-Schwachstelle bereits in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Ein deutliches Signal, dass Behörden und Unternehmen sofort handeln müssen.

Die gefährlichste Lücke trägt die Kennung CVE-2025-62215 und ermöglicht Angreifern eine Rechteausweitung im Windows-Kernel. Microsoft bestätigt die aktive Ausnutzung, hält sich aber mit Details zu den Angreifern und ihren Zielen bedeckt. Die Schwachstelle erhielt einen CVSS-Score von 7,0 und basiert auf einer sogenannten “Race Condition” – einem Wettlaufproblem, bei dem das Ergebnis vom zeitlichen Ablauf unkontrollierbarer Ereignisse abhängt.

Wer bereits Zugang zu einem System hat, kann durch eine speziell präparierte Anwendung diese Timing-Schwäche ausnutzen. Der Lohn für erfolgreich agierende Angreifer? Volle SYSTEM-Rechte – die höchste Berechtigungsstufe in Windows. Damit lassen sich Sicherheitssoftware deaktivieren und ganze Netzwerke infiltrieren. Sicherheitsexperten betonen: Solche Rechteausweitung-Lücken werden selten isoliert eingesetzt. Sie bilden das zweite Glied einer Angriffskette, die mit einer Remote-Code-Execution-Schwachstelle beginnt und in der vollständigen Systemübernahme endet.

IT‑Teams stehen unter massivem Druck: 63 kritische Sicherheitslücken — inklusive eines aktiv ausgenutzten Kernel‑Zero‑Days (CVE‑2025‑62215) — erfordern sofortige Priorisierung. Unser kostenloses E‑Book erklärt praxisnah, welche Sofortmaßnahmen jetzt schützen, wie Sie Patch‑Prioritäten setzen, Exploit‑Indikatoren erkennen und Ihre Server‑ sowie Admin‑Workstations wirkungsvoll härten. Enthalten: Checklisten für Incident Response und konkrete Überwachungs‑Regeln, die auch kleine Teams umsetzen können. Gratis Cyber‑Security‑Report für Unternehmen anfordern

Kritische Bedrohungen durch Remote Code Execution

Neben dem Zero-Day adressiert das November-Update mehrere kritische Schwachstellen, die Remote Code Execution (RCE) ermöglichen. An der Spitze steht CVE-2025-60724, ein Heap-basierter Pufferüberlauf in der Windows GDI+-Komponente mit einem CVSS-Score von 9,8 – nahezu perfekt aus Angreifersicht. Ein nicht authentifizierter Angreifer kann beliebigen Code ausführen, indem er sein Opfer dazu bringt, ein manipuliertes Dokument mit einer präparierten Metadatei zu öffnen. Die Allgegenwart der GDI+-Grafikbibliothek in unzähligen Anwendungen macht diese Lücke zur Top-Priorität.

Besonders heimtückisch: CVE-2025-60716 in Microsoft Office. Diese kritische RCE-Schwachstelle kann bereits durch das bloße Betrachten einer bösartigen E-Mail im Outlook-Vorschaufenster ausgelöst werden – ohne dass das Opfer einen Link anklicken oder einen Anhang öffnen muss. Ein gefundenes Fressen für Phishing-Kampagnen.

Weitere kritische Lücken betreffen DirectX Graphics Kernel (CVE-2025-60716) und Visual Studio (CVE-2025-62214), die Rechteausweitung und Supply-Chain-Angriffe ermöglichen könnten.

Erste Patches für Windows 10 unter neuem ESU-Programm

Die 63 behobenen Schwachstellen verteilen sich auf verschiedene Kategorien: 29 betreffen Rechteausweitung, 16 Remote Code Execution und 11 Informationsabfluss. Ein historischer Moment: Erstmals liefert Microsoft im Rahmen des neuen Extended Security Updates (ESU)-Programms Patches für Windows 10, dessen regulärer Support am 14. Oktober 2025 endete. Organisationen mit Windows 10 müssen im kostenpflichtigen ESU-Programm eingeschrieben sein, um diese kritischen Sicherheitsupdates zu erhalten.

Auch die kritische Infrastruktur bleibt nicht verschont: Eine hochgradige Schwachstelle in Windows Kerberos (CVE-2025-60704) und mehrere Lücken im Windows Ancillary Function Driver für WinSock wurden geschlossen. Adobe veröffentlichte parallel 29 Patches für Photoshop, InDesign und Illustrator – 23 davon kritisch eingestuft. Eine umfassende Patch-Strategie, die über das Betriebssystem hinausgeht, ist unverzichtbar.

Angriffskette: Erst eindringen, dann übernehmen

Die aktiv ausgenutzten Kernel-Schwachstelle veranschaulicht die typische Vorgehensweise moderner Angreifer. Der initiale Zugang – meist durch Phishing, gestohlene Zugangsdaten oder eine separate RCE-Lücke – ist oft der einfachste Teil. Das eigentliche Ziel: Rechte ausweiten, um tiefere Kontrolle zu erlangen. Kernel-Schwachstellen sind dafür der Heilige Gral.

Wie Dustin Childs von Trend Micros Zero Day Initiative erklärt: “Solche Bugs werden von Malware oft mit einer Code-Execution-Schwachstelle kombiniert, um ein System vollständig zu übernehmen.” Die hohe Zahl an Rechteausweitung-Fixes (46 Prozent aller Patches) zeigt, dass Microsoft aktiv daran arbeitet, das Betriebssystem gegen diese Post-Breach-Aktivitäten zu härten. Doch die Existenz eines funktionierenden Exploits bedeutet: Versierte Angreifer können ihn zuverlässig in gezielten Kampagnen einsetzen.

Wettlauf gegen die Zeit

Mit der bestätigten aktiven Ausnutzung läuft ein Wettrennen: IT- und Sicherheitsteams müssen die November-Patches installieren, bevor Angreifer die Fixes zurückentwickeln und ihre Attacken ausweiten. CISA hat für US-Bundesbehörden eine Frist bis zum 3. Dezember 2025 für CVE-2025-62215 gesetzt – ein Zeitplan, den auch die Privatwirtschaft anstreben sollte.

Das Fehlen eines öffentlichen Proof-of-Concept verschafft Verteidigern ein kurzes Zeitfenster. Doch die Uhr tickt. Sicherheitsexperten erwarten, dass Angreifer weiterhin Schwachstellen verketten: eine Remote-Schwachstelle für den Erstzugang, kombiniert mit der Kernel-Lücke für volle Systemkontrolle. Organisationen sollten den Zero-Day und die kritischen RCE-Schwachstellen sofort patchen – vor allem auf Hochrisikosystemen wie Servern und Administrations-Workstations. Kontinuierliche Überwachung auf Kompromittierungszeichen bleibt unverzichtbar, denn einige Netzwerke könnten bereits infiltriert sein.

PS: Phishing und RCE‑Lücken liefern Angreifern oft den Einstieg — kombiniert mit Kernel‑Exploits droht vollständiger Systemverlust. Holen Sie sich das kompakte Cyber‑Security‑E‑Book mit 4‑Schritte‑Maßnahmen, Praxis‑Checklisten zu Detection & Patch‑Management sowie Hinweisen zu neuen Compliance‑Anforderungen. Ideal für IT‑Verantwortliche, die schnell Risiko reduzieren wollen. E‑Book Cyber‑Security Awareness jetzt kostenlos herunterladen