Microsoft, Zero-Day-Lücke

Microsoft schließt Zero-Day-Lücke im Windows-Kernel

18.11.2025 - 16:09:12

Microsoft schließt Zero-Day-Lücke im Windows-Kernel - Foto: über boerse-global.de
Microsoft schließt Zero-Day-Lücke im Windows-Kernel - Foto: über boerse-global.de

Microsoft hat am Patch Tuesday im November 2025 kritische Sicherheitsupdates veröffentlicht, die 63 Schwachstellen beheben. Besonders brisant: Eine Zero-Day-Lücke im Windows-Kernel wird bereits aktiv ausgenutzt. IT-Administratoren und Nutzer sollten die Updates umgehend installieren, um ihre Systeme zu schützen.

Die November-Patches fallen zwar deutlich kleiner aus als die Rekord-Veröffentlichung im Oktober mit 172 Sicherheitslücken. Doch die Qualität der Bedrohungen hat es in sich. Neben der aktiv ausgenutzten Schwachstelle warnen Sicherheitsexperten vor einer kritischen Lücke in einer Windows-Grafikkomponente, die mit der Höchstpunktzahl bewertet wurde. Von den 63 geschlossenen Lücken ermöglichen 29 eine Rechteausweitung, 16 weitere die Ausführung von Schadcode aus der Ferne.

Die Updates betreffen eine breite Palette von Microsoft-Produkten: Windows, Office, SharePoint, SQL Server und Visual Studio. Experten raten dringend zur schnellen Installation – besonders bei Systemen mit Internetverbindung oder solchen, die nicht vertrauenswürdige Dateien verarbeiten.

Anzeige

Passend zum Thema IT‑Sicherheit: Aktive Zero‑Day‑Exploits und kritische GDI+-Lücken zeigen, wie schnell Angreifer reale Systeme gefährden können. Ein kostenloses E‑Book erklärt aktuelle Cyber‑Security‑Trends, praktische Schutzmaßnahmen und Priorisierungsstrategien für IT‑Verantwortliche – von schnellen Hardening‑Schritten bis zu Checklisten für Patch‑Management. Ideal für Administratoren, die Risiken sofort reduzieren wollen. Jetzt kostenlosen Cyber‑Security‑Leitfaden herunterladen

Die größte unmittelbare Bedrohung geht von CVE-2025-62215 aus, einer Schwachstelle zur Rechteausweitung im Windows-Kernel. Microsoft bestätigt: Diese Lücke wird bereits aktiv ausgenutzt. Hat ein Angreifer erst einmal Zugriff auf ein System erlangt, kann er seine Privilegien auf SYSTEM-Level anheben – und damit die vollständige Kontrolle übernehmen.

Die Ausnutzung erfordert allerdings das Gewinnen einer sogenannten Race Condition, bei der das Ergebnis eines Prozesses vom zeitlichen Ablauf anderer Ereignisse abhängt. Microsoft stuft die Lücke als “wichtig” statt “kritisch” ein, da zunächst lokaler Zugriff auf das Zielsystem nötig ist. Doch die aktive Ausnutzung in freier Wildbahn macht den Patch zur Priorität.

Entdeckt wurde die Schwachstelle vom Microsoft Threat Intelligence Center und dem Security Response Center. Details zu konkreten Angriffen hält Microsoft unter Verschluss. Bemerkenswert: Dies ist bereits die elfte Rechteausweitung im Windows-Kernel, die 2025 gepatcht wurde.

Höchste Alarmstufe: Kritische GDI+-Lücke birgt enormes Risiko

Trotz der Zero-Day-Bedrohung sehen Cybersicherheitsexperten eine andere Schwachstelle als möglicherweise gefährlicher an. CVE-2025-60724 betrifft die Windows Graphics Device Interface (GDI+) und erhielt mit 9,8 von 10 möglichen Punkten die höchste Bewertung aller November-Patches. Die Lücke ermöglicht Angreifern die Fernausführung von Code – sie müssen lediglich einen Nutzer dazu bringen, eine präparierte Datei herunterzuladen und zu öffnen.

Die Tragweite ist enorm: GDI+ ist eine Kernkomponente von Windows, auf die unzählige Anwendungen zugreifen – darunter die gesamte Microsoft-Office-Suite und zahlreiche Programme von Drittanbietern. Ben McCarthy, leitender Cybersecurity-Ingenieur bei Immersive, erklärt: “Dieser Patch sollte für Organisationen höchste Priorität haben.”

Zwar schätzt Microsoft die Wahrscheinlichkeit einer Ausnutzung als gering ein. Doch eine mit 9,8 bewertete Schwachstelle in einer derart allgegenwärtigen Bibliothek stellt ein kritisches Risiko dar, das Unternehmen nicht unterschätzen sollten.

Office und Entwickler-Tools im Fadenkreuz

Das November-Update schließt weitere kritische Lücken, die Systeme für Fernzugriffe öffnen könnten. CVE-2025-62199 betrifft Microsoft Office mit einem CVSS-Score von 7,8. Angreifer könnten die Schwachstelle über Social Engineering ausnutzen – etwa durch den Versand eines manipulierten Office-Dokuments.

Besonders perfide: Die Ausführung von Schadcode kann bereits erfolgen, wenn der Nutzer die Datei nur öffnet oder in der Outlook-Vorschau betrachtet. Das verschafft Angreifern Zugriff ohne weitere Nutzerinteraktion.

Weitere kritische Schwachstellen umfassen:

  • CVE-2025-60716: Rechteausweitung im DirectX-Grafikkern, die lokalen Angreifern mit niedrigen Privilegien SYSTEM-Zugriff ermöglicht
  • CVE-2025-62214: Code-Ausführung in Microsoft Visual Studio 2022, die authentifizierten lokalen Angreifern willkürliche Befehle erlaubt
  • CVE-2025-30398: Offenlegung von Informationen in Nuance PowerScribe, einem Dokumentations-Tool im Gesundheitswesen

Bedrohungslage: Angreifer setzen auf Rechteausweitung

Die November-Patches bestätigen einen anhaltenden Trend in der Bedrohungslandschaft. 46 Prozent der geschlossenen Lücken ermöglichen Rechteausweitungen, über 25 Prozent die Fernausführung von Code. Das zeigt: Angreifer konzentrieren sich darauf, kompromittierte Systeme tiefer zu infiltrieren und aus der Ferne Schadcode einzuschleusen.

Die aktive Ausnutzung der Kernel-Lücke CVE-2025-62215 beweist, dass Angreifer entdeckte Schwachstellen rasant bewaffnen. Doch Sicherheitsexperten warnen: Der höchste CVSS-Score bedeutet nicht automatisch die größte Gefahr. Die weitverbreitete Sorge um die GDI+-Schwachstelle CVE-2025-60724 – aufgrund ihrer Fast-Perfekt-Bewertung und der Allgegenwart der betroffenen Komponente – verdeutlicht die komplexen Risikoabwägungen, die Organisationen treffen müssen.

Wer nur aktiv ausgenutzte Lücken patcht, schließt nicht alle Scheunentore. Eine effektive Verteidigungsstrategie muss auch potenzielle Auswirkungen berücksichtigen, nicht nur bereits laufende Angriffe.

Sofortiges Handeln gefordert

Microsoft stellt die Sicherheitsupdates über die üblichen Kanäle bereit, einschließlich Windows Update. Angesichts der Schwere der Schwachstellen – insbesondere der aktiv ausgenutzten Zero-Day-Lücke und der kritischen Fernzugriffs-Schwachstellen – wird allen Nutzern und Organisationen sofortiges Handeln empfohlen.

IT-Administratoren sollten die Patch-Installation priorisieren, beginnend mit Systemen, die ans Internet angeschlossen sind oder nicht vertrauenswürdige Dateien verarbeiten. Nutzer aller unterstützten Windows-Versionen, einschließlich Windows 10 und 11, sowie Anwender von Microsoft Office und anderen betroffenen Produkten sollten ihre Systeme umgehend aktualisieren.

Das Zeitfenster ist knapp: Angreifer nutzen veröffentlichte Patches bekanntlich für Reverse Engineering, um daraus Exploits zu entwickeln. Wer nicht zeitnah patcht, öffnet Angreifern Tür und Tor für Rechteausweitung, Code-Ausführung und die vollständige Systemübernahme.

Anzeige

PS: Sie möchten proaktiv Schäden vermeiden und Ihre Systeme nachhaltig härten? Das kostenlose E‑Book bietet praxisnahe Maßnahmen, Checklisten und Vorlagen für kleine und mittlere Unternehmen – inklusive Hinweisen zu aktuellen Gesetzen und KI‑Regeln, die IT‑Sicherheit betreffen. Sofort umsetzbare Empfehlungen helfen, Angriffsflächen zu schließen und Exploits früh zu erkennen. Jetzt E‑Book ‘Cyber Security Awareness Trends’ gratis anfordern

@ boerse-global.de
Die besten Black Friday Angebote für