Microsoft schließt aktiv ausgenutzten Zero-Day im Windows Kernel

Kritische Sicherheitslücke betrifft Millionen Systeme weltweit – US-Behörden ordnen sofortige Updates an

Microsoft hat am heutigen Patch Tuesday über 60 Sicherheitslücken in seiner Software-Landschaft geschlossen. Im Zentrum steht eine Zero-Day-Schwachstelle im Windows Kernel, die bereits aktiv von Angreifern ausgenutzt wird. Die Lücke mit der Kennung CVE-2025-62215 ermöglicht es Hackern, vollständige Systemkontrolle zu erlangen – ein Albtraum für IT-Administratoren. Cybersecurity-Behörden weltweit drängen auf sofortige Installation der Updates.

Doch was macht diese Sicherheitslücke so gefährlich? Und welche weiteren kritischen Schwachstellen hat Microsoft diesmal geschlossen?

Die November-Updates betreffen das gesamte Microsoft-Ökosystem: von Windows über Office bis hin zu SQL Server und Hyper-V. Zahlreiche Schwachstellen könnten es Angreifern ermöglichen, ihre Rechte auszuweiten, Code aus der Ferne auszuführen oder sensible Daten zu stehlen.

Passend zum Thema aktuelle Angriffe: Viele Unternehmen unterschätzen, wie schnell Zero‑Day‑Exploits Netzwerke lahmlegen und wie wichtig eine klare Priorisierung von Patches ist. Unser kostenloses E‑Book erklärt praxisnahe Schutzmaßnahmen, Priorisierungsregeln für kritische Updates und kurzfristige Kontrollen, mit denen Sie Angriffe erkennen und stoppen können — ohne teure Umbauten. Ideal für IT‑Verantwortliche, die jetzt handeln müssen. Plus: Konkrete Checkliste und umsetzbare Schritte für die nächsten 24 Stunden; Download per E‑Mail. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Die akuteste Gefahr steckt tief im Windows Kernel. CVE-2025-62215 erlaubt es Angreifern, ihre Privilegien auf SYSTEM-Ebene auszuweiten – die höchste Zugriffsstufe in Windows. Microsoft bestätigt: Diese Lücke wird bereits aktiv ausgenutzt.

Die Schwachstelle basiert auf einer sogenannten “Race Condition”. Dabei kommt es zu Fehlern, wenn der Kernel mehrere Prozesse gleichzeitig auf gemeinsame Ressourcen zugreifen lässt. Gelingt ein Angriff, übernimmt der Hacker praktisch die vollständige Kontrolle über das betroffene System.

SYSTEM-Rechte bedeuten absolute Macht. Sicherheitsexperten warnen: Solche Kernel-Lücken dienen typischerweise als zweite Stufe in komplexeren Angriffsketten. Nach einem initialen Zugriff – etwa durch Phishing – nutzen Angreifer CVE-2025-62215, um Sicherheitsmechanismen auszuhebeln, persistente Malware zu installieren und sich im Netzwerk auszubreiten.

Entdeckt wurde die Lücke von Microsofts eigenem Threat Intelligence Center (MSTIC) und dem Security Response Center (MSRC). Dass sie bereits im Einsatz ist, dürfte die Verantwortlichen besonders beunruhigen.

Weitere kritische Schwachstellen im Überblick

Die aktiv ausgenutzte Zero-Day-Lücke ist nur die Spitze des Eisbergs. Microsofts November-Update schließt mehrere weitere hochkritische Schwachstellen, die ähnlich gefährlich sein könnten.

CVE-2025-60724 sticht besonders hervor: Eine Remote-Code-Execution-Lücke in der Windows Graphics Component (GDI+) erreicht einen CVSS-Schweregrad von 9,8 von 10 Punkten. Angreifer könnten schadhaften Code ausführen, indem sie Nutzer dazu bringen, manipulierte Dateien zu öffnen. Die GDI+-Bibliothek wird von zahllosen Anwendungen genutzt – Sicherheitsforscher stufen diesen Patch als absolut prioritär ein.

Noch heimtückischer ist CVE-2025-62199 in Microsoft Office. Diese Remote-Code-Execution-Lücke lässt sich besonders leicht ausnutzen: Bereits das Anzeigen einer bösartigen E-Mail in die Outlook-Vorschau könnte ausreichen – ohne dass ein Anhang geöffnet werden muss. Kein Wunder also, dass Experten vor dieser Schwachstelle eindringlich warnen.

Die Updates decken zudem Lücken in SQL Server, Visual Studio, Windows Hyper-V und dem Azure Monitor Agent ab. Die Breite der betroffenen Produkte unterstreicht die Dringlichkeit des Security-Releases.

CISA schlägt Alarm: Frist bis 3. Dezember

Die US-Cybersecurity and Infrastructure Security Agency (CISA) hat schnell reagiert. Die Behörde hat CVE-2025-62215 in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen – eine Liste der gefährlichsten Sicherheitslücken für Bundesbehörden.

Die Anweisung ist unmissverständlich: US-Bundesbehörden müssen die Patches bis zum 3. Dezember 2025 installieren. CISA appelliert eindringlich an alle Organisationen, diesem Beispiel zu folgen.

Microsofts Empfehlung ist glasklar: Die einzige wirksame Gegenmaßnahme ist die sofortige Installation der Sicherheitsupdates auf allen unterstützten Windows- und Software-Versionen.

Besondere Brisanz hat die Situation für Windows-10-Nutzer. Das Betriebssystem erreichte im Oktober 2025 sein offizielles Support-Ende. Organisationen, die noch Windows 10 einsetzen, müssen am Extended Security Update (ESU)-Programm teilnehmen, um diese kritischen Patches zu erhalten. Microsoft hat kürzlich einen außerplanmäßigen Fix veröffentlicht, nachdem ein Bug die ESU-Registrierung blockiert hatte.

Einordnung: Kleiner, aber hochgefährlicher Patch-Dienstag

Mit über 60 geschlossenen Lücken fällt das November-Update deutlich kleiner aus als der Rekord-Patch-Tuesday im Oktober mit 172 Fixes. Doch Sicherheitsanalysten betonen: Der Schweregrad macht diesen Patch-Zyklus mindestens ebenso kritisch.

Die aktive Ausnutzung einer Kernel-Schwachstelle ist ein bedeutsames Ereignis in der Cybersecurity-Landschaft. Satnam Narang, leitender Sicherheitsforscher bei Tenable, erklärt: Solche Lücken werden typischerweise für Post-Exploitation-Aktivitäten genutzt, nachdem Angreifer bereits einen ersten Fuß in die Tür bekommen haben.

Besonders brisant: Mehrere der hochkritischen Schwachstellen lassen sich mit minimaler Nutzerinteraktion ausnutzen. Johannes Ullrich vom SANS Technology Institute merkt an, dass die Ausnutzung dieser speziellen Kernel-Lücke relativ unkompliziert sein könnte. Die Kombination aus einer bereits genutzten Zero-Day und mehreren kritischen Remote-Code-Execution-Lücken schafft eine gefährliche Gemengelage für ungepatchte Systeme.

Was jetzt zu tun ist

Organisationen müssen davon ausgehen, dass Angreifer gezielt nach Systemen suchen, die gegen CVE-2025-62215 verwundbar sind. Die oberste Priorität lautet: sofortige Bereitstellung der November-2025-Updates in allen Windows- und Microsoft-Produktumgebungen.

Der Fokus sollte dabei auf folgenden Schwachstellen liegen:
– Die aktiv ausgenutzte Kernel-Lücke CVE-2025-62215
– Die kritischen Schwachstellen in GDI+ (CVE-2025-60724)
– Die Office-Lücke CVE-2025-62199

IT-Administratoren sollten verifizieren, dass die Updates erfolgreich eingespielt wurden und Systeme auf verdächtige Aktivitäten überwachen. Da der Exploit für die Zero-Day bereits in Umlauf ist, bleibt das Risiko für ungepatchte Systeme extrem hoch – und dürfte weiter steigen, wenn mehr Angreifer, darunter Ransomware-Gruppen, die Technik in ihre Toolkits übernehmen.

Dieser Vorfall unterstreicht einmal mehr die Bedeutung robuster Patch-Management-Prozesse. Für Unternehmen, die noch Windows 10 einsetzen, ist die Teilnahme am ESU-Programm keine Option mehr, sondern existenziell für die IT-Sicherheit.

PS: Sofort handeln kann Schäden vermeiden. Unser Gratis‑Report erklärt, welche kurzfristigen Maßnahmen (Patch‑Priorisierung, Monitoring und Anti‑Phishing‑Checks) jetzt höchste Priorität haben und wie Sie sie in wenigen Stunden umsetzen können. Er enthält eine praktische Checkliste für die Notfall‑Reaktion, Priorisierungsregeln und Vorlagen für IT‑Teams, damit Sie gezielt Lücken wie CVE‑2025‑62215 abfangen. Gratis Cyber-Security-Report & Checkliste sichern