Microsoft hat im Rahmen seines November-Patch-Tuesday 63 Sicherheitslücken geschlossen – darunter eine kritische Zero-Day-Schwachstelle im Windows-Kernel, die bereits aktiv für Cyberangriffe ausgenutzt wird. Die Lücke ermöglicht Angreifern die vollständige Kontrolle über betroffene Systeme. Experten sprechen von einem Wettlauf gegen die Zeit.

Die als CVE-2025-62215 geführte Schwachstelle betrifft alle derzeit unterstützten Windows- und Windows-Server-Versionen. Microsofts eigenes Threat Intelligence Center (MSTIC) und das Security Response Center (MSRC) entdeckten die aktiven Angriffe. Neben dem Zero-Day beseitigt das Update-Paket vier weitere kritische Sicherheitslücken, die Cyberkriminelle für Remote-Code-Ausführungen nutzen könnten.

Wie Angreifer die Kernel-Lücke ausnutzen

CVE-2025-62215 ist eine Privilege-Escalation-Schwachstelle mit hohem Schweregrad. Die Lücke erlaubt Angreifern, die bereits Zugriff auf ein System haben, ihre Rechte auf SYSTEM-Level zu erweitern – die höchste Berechtigungsstufe unter Windows. Mit diesen Privilegien können sie Sicherheitssoftware deaktivieren, Schadsoftware installieren, sensible Daten stehlen und sich lateral im Netzwerk bewegen.

Technisch handelt es sich um eine sogenannte Race Condition – einen Softwarefehler, bei dem das Systemverhalten von der zeitlichen Abfolge unkontrollierbarer Ereignisse abhängt. Angreifer müssen diese Race Condition gewinnen, um die Lücke erfolgreich auszunutzen. Dass dies bereits in freier Wildbahn geschieht, zeigt: Kriminelle haben zuverlässige Methoden gefunden, dieses Zeitfenster zu ihren Gunsten zu nutzen.

Sicherheitsexperten warnen vor allem vor Angriffsszenarien, bei denen die Kernel-Lücke mit anderen Exploits kombiniert wird. Häufig verschaffen sich Angreifer zunächst über Phishing-Mails Zugang zu einem System, um dann über CVE-2025-62215 die vollständige Kontrolle zu übernehmen.

Kritische Grafik-Komponente mit Höchstwertung

Neben dem Zero-Day schließt Microsoft eine weitere hochbrisante Lücke: CVE-2025-60724 betrifft die Microsoft Graphics Component (GDI+) und erhält im CVSS-Bewertungssystem nahezu perfekte 9,8 von 10 Punkten. Die Heap-basierte Buffer-Overflow-Schwachstelle ermöglicht Remote-Code-Ausführung – Angreifer könnten Opfer durch manipulierte Dokumente oder Bilddateien kompromittieren.

Besonders tückisch: Die Ausnutzung könnte bereits über die Vorschaufunktion im E-Mail-Programm erfolgen, ohne dass das Opfer die Datei aktiv öffnet. Ein Szenario, das an vergangene Angriffswellen erinnert und IT-Abteilungen in Alarmbereitschaft versetzt.

Das November-Update umfasst eine breite Palette an Microsoft-Produkten: Windows, Office, Microsoft Edge, Azure Monitor Agent, Dynamics 365, Hyper-V und SQL Server. Die 63 geschlossenen Lücken verteilen sich wie folgt:

  • 29 Privilege-Escalation-Schwachstellen
  • 16 Remote-Code-Execution-Lücken
  • 11 Information-Disclosure-Schwachstellen
  • 3 Denial-of-Service-Lücken
  • 2 Spoofing-Schwachstellen
  • 2 Security-Feature-Bypass-Lücken

Experten: Angriffe werden zunehmen

"Solche Bugs werden häufig von Malware mit Code-Execution-Lücken kombiniert, um Systeme vollständig zu übernehmen", erklärt Dustin Childs von Trend Micros Zero Day Initiative. Die anhaltende Fokussierung auf Kernel-Level-Schwachstellen zeige, dass Angreifer systematisch nach der höchstmöglichen Kontrolle über kompromittierte Systeme streben.

Kernel-Schwachstellen sind besonders gefährlich, weil der Kernel die zentrale Komponente ist, die das gesamte Betriebssystem steuert. Chris Goettl, VP of Security Product Management bei Ivanti, betont: Die Tatsache, dass alle unterstützten Windows-Versionen betroffen sind – inklusive Windows 10 unter dem Extended Security Updates (ESU)-Programm – unterstreiche das Risiko, ältere Betriebssysteme ohne aktuelle Unterstützung zu betreiben.

Microsoft selbst hat bislang keine Details zur Art oder zum Umfang der Angriffe mit CVE-2025-62215 veröffentlicht. Die bestätigte Ausnutzung bedeutet jedoch einen Wettlauf zwischen Angreifern und Verteidigern. Die Cybersecurity-Community rechnet damit, dass in Kürze öffentlicher Proof-of-Concept-Code auftauchen könnte – was eine neue Angriffswelle auf ungepatchte Systeme auslösen würde.

Sofortiges Handeln erforderlich

Microsoft fordert alle Nutzer und IT-Administratoren nachdrücklich auf, die November-Updates unverzüglich zu installieren. Höchste Priorität hat der Windows-Kernel-Zero-Day (CVE-2025-62215) aufgrund der aktiven Bedrohung. Danach sollte die kritische Remote-Code-Execution-Lücke in der Grafik-Komponente (CVE-2025-60724) gepatcht werden – insbesondere auf Systemen, die nutzergenerierte Dokumente oder Bilddateien verarbeiten.

Organisationen sollten zentrale Patch-Management-Systeme nutzen, um eine zeitnahe Verteilung auf allen Endgeräten und Servern sicherzustellen. Da Cyberkriminelle die Zero-Day-Lücke bereits aktiv ausnutzen, ist das Zeitfenster für Gegenmaßnahmen eng. Schnelles und gründliches Patching bleibt derzeit die einzige wirksame Verteidigung gegen diese neu offengelegten Bedrohungen.