Microsoft hat am November-Patchday 2025 Sicherheitsupdates für 63 Schwachstellen veröffentlicht. Im Mittelpunkt steht eine bereits aktiv angegriffene Zero-Day-Lücke im Windows-Kernel, die Angreifern vollständige Systemkontrolle ermöglicht. Zusätzlich schließt der Konzern aus Redmond fünf kritische Sicherheitslücken, die Remotecodeausführung oder Rechteausweitung ermöglichen. Die Updates betreffen ein breites Produktspektrum – von Windows-Versionen über Microsoft Office bis hin zu Azure und Visual Studio.

Für IT-Verantwortliche bedeutet das: sofortiges Handeln ist erforderlich. Die Kombination aus aktiven Angriffen und mehreren kritischen Schwachstellen macht diesen Patchday zu einem der dringlichsten des Jahres.

Angreifer nutzen Kernel-Schwachstelle bereits aus

Die CVE-2025-62215 steht ganz oben auf der Prioritätenliste. Diese Schwachstelle zur Rechteausweitung im Windows-Kernel erhält zwar "nur" die Einstufung "Wichtig" mit einem CVSS-Score von 7,8 – doch Microsoft bestätigt die aktive Ausnutzung in freier Wildbahn. Ein erfolgreicher Angriff verschafft Angreifern vollständige SYSTEM-Rechte auf kompromittierten Geräten.

Die Ausnutzung erfordert das Gewinnen einer sogenannten "Race Condition" – eines kritischen Zeitfensters, in dem der Ausgang eines Prozesses vom Timing anderer Ereignisse abhängt. Wie genau Cyberkriminelle die Lücke derzeit ausnutzen, hält Microsoft unter Verschluss. Sicherheitsexperten raten dennoch zu sofortiger Installation des Patches auf allen unterstützten Windows-Versionen, einschließlich Windows 10, 11 und Server-Editionen.

Alternativen gibt es nicht: Workarounds existieren für diese Schwachstelle keine.

Fünf kritische Lücken gefährden Systeme

Neben dem Zero-Day adressiert Microsoft fünf kritische Schwachstellen – die höchste Gefahrenstufe im hauseigenen Bewertungssystem. Diese Sicherheitslücken könnten Angreifern erlauben, beliebigen Code auf verwundbaren Systemen auszuführen. Die gefährlichsten Schwachstellen im Überblick:

  • CVE-2025-60724: Eine Remotecodeausführungs-Lücke in GDI+, der zentralen Grafikkomponente von Windows. Mit einem CVSS-Score von 9,8 gehört sie zu den gefährlichsten Schwachstellen dieses Monats. Das Öffnen eines präparierten Dokuments genügt – in Webdiensten ist sogar eine Ausführung ohne jegliche Nutzerinteraktion möglich.

  • CVE-2025-60716: Eine Rechteausweitung im DirectX Graphics Kernel, die Angreifern erweiterte Systemprivilegien verschafft.

  • Drei weitere RCE-Schwachstellen in Microsoft Office, Visual Studio und anderen Windows-Komponenten verdeutlichen die Breite der Angriffsfläche.

Insgesamt behebt das November-Update 16 Remotecodeausführungs-Lücken, 29 Schwachstellen zur Rechteausweitung, 11 Informationslecks sowie mehrere Denial-of-Service-, Spoofing- und Sicherheitsumgehungs-Probleme.

Windows 10 ESU: Erste Updates für Altsysteme

Die Sicherheitsfixes betreffen ein breites Produktportfolio von Microsoft. Updates stehen bereit für Windows 10 (inklusive des ersten Extended Security Update), Windows 11 (Versionen 22H2, 23H2, 24H2 und 25H2) sowie Windows Server.

Besondere Bedeutung erhält dieser Patchday für Windows-10-Nutzer: Es ist das erste Sicherheitsupdate für Teilnehmer am ESU-Programm, nachdem der Mainstream-Support für das beliebte Betriebssystem ausgelaufen ist. Das Update KB5068781 steht nun für zahlende Abonnenten bereit, die weiterhin Sicherheitspatches erhalten möchten.

Für Unternehmen, die Windows 10 noch im Einsatz haben, wird dieser Monat zum Praxistest ihrer ESU-Strategie. Wer jetzt nicht patcht, riskiert erhebliche Sicherheitslücken in Produktivsystemen.

Was IT-Verantwortliche jetzt tun sollten

Die klare Empfehlung lautet: Sofortige Installation der November-Updates. Höchste Priorität hat dabei die Kernel-Schwachstelle CVE-2025-62215 auf allen betroffenen Windows- und Windows-Server-Systemen – hier laufen bereits aktive Angriffskampagnen.

Danach folgen die fünf kritischen Schwachstellen, besonders auf internetexponierten Systemen oder solchen, die mit nicht vertrauenswürdigen Dateien arbeiten. Das GDI+-Problem verdient besondere Aufmerksamkeit: Mit einem CVSS-Score von 9,8 und der Möglichkeit zur Ausführung ohne Nutzerinteraktion ist es ein gefundenes Fressen für Angreifer.

Wie immer gilt: Patches zunächst in Testumgebungen ausrollen, um Betriebsunterbrechungen zu vermeiden. Doch die Kombination aus aktivem Zero-Day und mehreren kritischen Lücken lässt wenig Spielraum für Verzögerungen. Wer jetzt nicht handelt, öffnet Cyberkriminellen Tür und Tor.