Windows-Lücke: Kritische Schwachstelle bedroht weltweit Systeme

Eine kritische Sicherheitslücke in Microsoft Windows zwingt IT-Teams weltweit zu Notfall-Updates. Der Fehler ermöglicht Angreifern die vollständige Kontrolle über betroffene Computer – und wird bereits aktiv ausgenutzt.

Berlin – Die Warnungen der US-Cybersicherheitsbehörde CISA könnten deutlicher kaum sein: Bis zum 30. Dezember müssen alle US-Behörden eine gefährliche Schwachstelle in Windows geschlossen haben. Grund ist die als CVE-2025-62221 bekannte Lücke, die Angreifern mit einfachen Benutzerrechten Administratorzugriff verschafft. Das Sicherheitsunternehmen CrowdStrike bestätigte am Mittwoch, dass die Schwachstelle bereits aktiv ausgenutzt wird.

Was die “Cloud Files”-Lücke so gefährlich macht

Der Fehler steckt im cldflt.sys-Treiber, einem Windows-Baustein für die Synchronisation mit Cloud-Diensten wie OneDrive. Das Tückische: Der Treiber ist standardmäßig installiert – selbst wenn gar keine Cloud-Dienste genutzt werden.

Viele Unternehmen sind auf Cyberangriffe nicht ausreichend vorbereitet – gerade Angriffe über Treiber und Ransomware nutzen genau solche Schwachstellen. Das kostenlose E‑Book “Cyber Security Awareness Trends” fasst aktuelle Bedrohungen (inkl. Kernel-Treiber-Angriffe, Phishing-Einstiege und Ransomware-Taktiken) zusammen und liefert sofort umsetzbare Schutzmaßnahmen für IT-Verantwortliche. Praxistipps, Prioritätenlisten und Checklisten zeigen, wie Sie Ihr Unternehmen kurzfristig härten – auch ohne große Budgets. Jetzt kostenlosen Cyber-Security-Report herunterladen

„Diese Schwachstelle ermöglicht es lokalen Angreifern mit niedrigen Berechtigungen, sich ohne weitere Interaktion auf SYSTEM-Ebene hochzustufen”, warnt CrowdStrike in seiner Analyse vom 17. Dezember. Genau das macht die Lücke für Ransomware-Gruppen so wertvoll: Nach einem ersten Eindringen per Phishing nutzen sie solche Privilegien-Eskalationen, um Sicherheitssoftware abzuschalten und sich im Netzwerk auszubreiten.

Mit einem CVSS-Schweregrad von 7,8 gilt die Lücke offiziell als “wichtig” – nicht als “kritisch”. Doch die Praxis zeigt ein anderes Bild: Seit Microsoft die aktive Ausnutzung bestätigte, steht CVE-2025-62221 auf der Liste der Known Exploited Vulnerabilities. Für US-Behörden ist die Patches-Pflicht damit bindend.

Warum der Zeitpunkt so ungünstig ist

Die Enthüllung kurz vor den Feiertagen stellt Unternehmen vor massive Probleme. „Ransomware-Betreiber wissen, dass IT-Teams jetzt mit Minimalbesetzung arbeiten”, warnt ein Branchenexperte. „Eine ungepatchte Lücke ist genau das, was sie brauchen, um aus einem kleinen Vorfall über Weihnachten eine Katastrophe zu machen.”

Noch bleibt ein kleines Zeitfenster: Öffentliche Exploit-Codes sind nicht verfügbar. Doch dass Angriffe bereits stattfinden, deutet darauf hin, dass der Code in geschlossenen Kreisen zirkuliert. Die Empfehlung der Sicherheitsexperten ist eindeutig: Nicht bis zur CISA-Frist am 30. Dezember warten, sondern sofort die Dezember-2025-Sicherheitsupdates einspielen.

Besonderes Augenmerk gilt Windows 10, Windows 11 und Windows Server 2022/2025. Wo sofortiges Patchen unmöglich ist, sollten Sicherheitsteams die Überwachung verdächtiger Prozesse rund um cldflt.sys verstärken.

Treiber-Angriffe: Ein anhaltender Trend

Die aktuelle Lücke passt in ein bedenkliches Muster: Immer häufiger zielen Angreifer auf obskure Windows-Kernel-Treiber ab. „Treiber wie cldflt.sys laufen mit hohen Privilegien und sind allgegenwärtig”, erklärt ein Threat-Analyst. „Weil sie mit dem Kernel interagieren, umgehen sie viele Schutzmechanismen.”

Die zugrundeliegende “Use-After-Free”-Schwachstelle – bei der Programme auf bereits freigegebenen Speicher zugreifen – bleibt eine hartnäckige Herausforderung für alte Codebestände. Zwar setzt Microsoft zunehmend auf speichersichere Sprachen wie Rust. Doch das Ökosystem veralteter Treiber birgt weiterhin zahlreiche Schwachstellen.

Weitere Risiken im Dezember-Update

Neben der Cloud-Files-Lücke behoben die Dezember-Updates etwa 57 weitere Schwachstellen. Besonders im Blick steht CVE-2025-54100, eine Remote-Code-Ausführungslücke in Windows PowerShell. Microsoft sieht hier zwar keine aktive Ausnutzung, warnt aber angesichts der weiten Verbreitung von PowerShell in Unternehmen vor Nachlässigkeit.

Ebenfalls diesen Monat öffentlich gemacht wurde eine Zero-Day-Lücke in GitHub Copilot für JetBrains. Sie erfordert zwar lokalen Zugriff und wird derzeit nicht ausgenutzt, zeigt aber die wachsende Angriffsfläche von KI-Entwicklungstools.

Für IT-Verantwortliche bedeutet das: Die letzten beiden Wochen des Jahres werden zum Stresstest. Die Frage ist nicht mehr, ob gepatcht werden muss – sondern nur noch, wie schnell es gelingt, bevor Angreifer die Feiertage für ihre Zwecke nutzen.

PS: Wenn Sie jetzt priorisieren müssen, hilft ein kompakter Leitfaden beim Sofortschutz: Welche Monitoring‑Schritte, Notfall-Checklisten und Anti‑Phishing-Maßnahmen sofort wirken und wie Sie Verantwortlichkeiten kurzfristig verteilen. Der Gratis-Download bietet eine umsetzbare To‑Do‑Liste für IT-Teams, die in wenigen Stunden spürbare Sicherheitsgewinne erzielen wollen. Gratis Cyber-Security-Leitfaden jetzt sichern