Microsoft schließt kritische Sicherheitslücke unter aktivem Angriff

Das November-Update ist da – und es hat es in sich. Microsoft stopft 63 Schwachstellen, darunter eine Zero-Day-Lücke im Windows-Kernel, die Angreifer bereits aktiv ausnutzen. Vier Sicherheitslücken stuft der Konzern als „kritisch” ein. Für Nutzer und IT-Verantwortliche heißt es jetzt: schnell handeln.

Die umfassende Aktualisierung betrifft nahezu das gesamte Microsoft-Universum: Windows, Office, Edge, SQL Server, Hyper-V und Visual Studio erhalten wichtige Korrekturen. Die Schwachstellen reichen von Fernzugriff mit Codeausführung über Rechteausweitung bis hin zu Informationsabfluss und Systemabstürzen. Im Zentrum steht eine Kernel-Lücke, die Angreifer bereits jetzt ausnutzen – ein Wettlauf gegen die Zeit beginnt.

Die gefährlichste Schwachstelle trägt die Kennung CVE-2025-62215. Diese Rechteausweitung im Windows-Kernel wurde von Microsofts eigenem Threat Intelligence Center entdeckt – allerdings erst, nachdem Angreifer sie bereits im Einsatz hatten. Ein authentifizierter Angreifer kann seine Privilegien auf SYSTEM-Ebene erweitern, sofern er eine sogenannte Race Condition ausnutzt.

Was bedeutet das konkret? Sicherheitsexperten warnen: Solche Lücken werden selten isoliert eingesetzt. Vielmehr kombinieren Angreifer sie mit anderen Exploits, etwa einer Fernzugriffslücke. Das Resultat: komplette Systemübernahme, Datendiebstahl oder Malware-Verbreitung. Microsoft bestätigt die aktive Ausnutzung – dieser Patch duldet keinen Aufschub.

Apropos sichere Systeme – viele Anwender unterschätzen, wie leicht beim Upgrade oder bei falscher Systempflege Daten verloren gehen oder neue Angriffsflächen entstehen. Ein kostenloser Windows‑11‑Komplett‑Report erklärt Schritt für Schritt, wie Sie Windows sicher einrichten, Programme und Daten übernehmen und typische Fehler vermeiden, die Angreifer ausnutzen könnten. Hier kostenlosen Windows‑11‑Report anfordern

Kritische Fernzugriffslücken bedrohen Systeme

Neben der Zero-Day-Schwachstelle hat Microsoft mehrere kritische Lücken geschlossen, die Fernzugriff mit Codeausführung ermöglichen. Besonders brisant: CVE-2025-60724, ein Heap-basierter Pufferüberlauf in der Grafikkomponente GDI+. Mit einem CVSS-Wert von 9,8 von 10 möglichen Punkten liegt diese Schwachstelle im absoluten Hochrisikobereich.

Ein Angreifer muss lediglich sein Opfer dazu bringen, ein manipuliertes Dokument oder eine präparierte Datei zu öffnen. Danach läuft die Codeausführung ohne weitere Nutzerinteraktion ab. Im schlimmsten Fall genügt bereits der Upload einer bösartigen Datei auf einen anfälligen Webdienst, um die Schwachstelle auszulösen.

Office-Lücke macht Vorschaufenster zur Gefahrenzone

CVE-2025-62199 betrifft Microsoft Office und zählt ebenfalls zu den kritischen Schwachstellen. Die Use-after-free-Lücke erlaubt nicht authentifizierten Angreifern die lokale Codeausführung – vorausgesetzt, sie können einen Nutzer zum Öffnen einer manipulierten Office-Datei bewegen. Klassischer Angriffsweg: E-Mail-Anhänge.

Besonders perfide: Die Vorschaufunktion in Office gilt als potenzieller Angriffsvektor. Nutzer müssen die Datei womöglich nicht einmal explizit öffnen – ein kurzer Blick in der Vorschau könnte bereits ausreichen. Ein Szenario, das vor allem in Unternehmensumgebungen mit hohem E-Mail-Aufkommen gefährlich werden kann.

Breite Palette betroffener Produkte

Jenseits der Schlagzeilen-Lücken hat Microsoft zahlreiche weitere Schwachstellen mit der Einstufung „wichtig” behoben. Die Updates betreffen alle aktuellen Windows-Versionen, von Windows 10 über Windows 11 bis zu Windows Server. Insgesamt schließt Microsoft 29 Rechteausweitung-Lücken, 16 Fernzugriffsschwachstellen und 11 Informationslecks.

Auch SQL Server, Windows Hyper-V, Visual Studio und das Windows Subsystem for Linux GUI erhalten wichtige Korrekturen. Die schiere Bandbreite der betroffenen Produkte unterstreicht: Ohne systematische und zeitnahe Patch-Strategie bleiben Organisationen verwundbar.

Experten fordern sofortiges Handeln

Cybersecurity-Spezialisten schlagen Alarm, insbesondere wegen der aktiv ausgenutzten CVE-2025-62215. Die Möglichkeit, SYSTEM-Rechte zu erlangen, macht diese Lücke zu einem mächtigen Werkzeug: Aus einem harmlosen Einbruch mit niedrigen Rechten wird so schnell eine umfassende Netzwerkkompromittierung. Die GDI+-Schwachstelle (CVE-2025-60724) bereitet ebenfalls Sorgen – ihr hoher CVSS-Wert und die potenzielle Ausnutzung ohne Nutzerinteraktion machen sie besonders gefährlich.

IT-Administratoren sollten mit der Verteilung der Sicherheitsupdates umgehend beginnen, beginnend mit der Zero-Day-Lücke und den kritischen Schwachstellen. Privatnutzer aktivieren am besten die automatischen Updates, um ihre Systeme zu schützen. Die Aktualisierung lässt sich über die Windows-Update-Funktion in den Systemeinstellungen installieren.

Das ewige Katz-und-Maus-Spiel geht weiter

Der November-Patch-Tuesday 2025 ist ein weiteres Kapitel im andauernden Kampf um die Sicherheit von Microsofts riesigem Software-Ökosystem. Die Tatsache, dass eine Zero-Day-Lücke bereits vor Verfügbarkeit des Patches ausgenutzt wurde, zeigt das ständige Wettrennen zwischen Softwareherstellern und Cyberkriminellen.

Da Angreifer zunehmend mehrere Schwachstellen kombinieren, um maximalen Schaden anzurichten, war die Bedeutung aktueller Systeme noch nie größer. Microsoft hat angekündigt, dass es im Dezember 2025 keine Vorschau-Updates geben wird – das November-Update ist damit das letzte wichtige Sicherheitspaket vor Jahresende. Wer jetzt nicht patcht, geht mit bekannten und aktiv ausgenutzten Bedrohungen ins neue Jahr.

PS: Wer jetzt schnell und sicher ins neue Jahr gehen möchte, sollte nicht nur die Patches einspielen, sondern auch den Upgrade‑ und Backup‑Plan prüfen. Der Gratis‑Report zum Windows‑11‑Komplettpaket liefert eine praktische Checkliste für sichere Upgrades, Backup‑Tipps und zeigt, wie Sie Programme und Daten ohne Risiko übernehmen. Jetzt kostenlosen Windows‑11‑Komplett‑Report sichern