Microsoft-Patch-Tuesday: 57 Sicherheitslücken geschlossen – Zero-Day wird aktiv ausgenutzt

Das Dezember-Update behebt 57 Schwachstellen, darunter eine aktiv ausgenutzte Lücke im Windows Cloud-Treiber und kritische Office-Fehler, die bereits durch E-Mail-Vorschau ausgenutzt werden können.

Börse Express

Heute, 06:52 Uhr

Beitragsbild zu Microsoft-Patch-Tuesday: 57 Sicherheitslücken geschlossen – Zero-Day wird aktiv ausgenutzt

Microsoft veröffentlicht sein letztes großes Sicherheitsupdate des Jahres – und schließt damit eine kritische Schwachstelle, die bereits von Angreifern ausgenutzt wird. Die gestrige Veröffentlichung am 9. Dezember umfasst 57 Schwachstellen im gesamten Microsoft-Ökosystem und markiert damit einen weiteren Höhepunkt in einem Jahr, das von einem Rekordvolumen an Sicherheitslücken geprägt war.

Im Zentrum der Aufmerksamkeit steht eine Zero-Day-Lücke im Windows Cloud Files Mini Filter Driver, die bereits aktiv in Angriffen eingesetzt wird. Hinzu kommen zwei öffentlich bekannte Schwachstellen sowie drei kritische Sicherheitslücken in Microsoft Office und Outlook, die besonders gefährlich sind: Sie können bereits durch das bloße Anzeigen einer E-Mail im Vorschaufenster ausgenutzt werden.

Sicherheitsexperten drängen auf sofortige Installation der Updates. Die niedrige Einstiegshürde für Angriffe macht die Lücken zu einem attraktiven Ziel für Cyberkriminelle.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – das Risiko wächst mit ungepatchten Systemen, unsicheren Outlook‑Instanzen und offenen Cloud‑Treibern. Unser kostenloses E‑Book erklärt die aktuellen Bedrohungstrends wie Zero‑Day-Exploits, Phishing‑Ketten und Missbrauch von PowerShell oder Cloud‑Treibern und bietet konkrete, priorisierte Maßnahmen für IT‑Verantwortliche: praxisnahe Checklisten, Sofortmaßnahmen und Schritt‑für‑Schritt‑Umsetzungen für kleine und mittlere Unternehmen. Schützen Sie Ihre Infrastruktur, bevor Angreifer die Lücke nutzen. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Akute Bedrohung: Zero-Day in Windows-Cloud-Synchronisation

Die dringendste Schwachstelle trägt die Kennung CVE-2025-62221 und betrifft den Windows Cloud Files Mini Filter Driver (cldflt.sys). Diese Kernkomponente des Betriebssystems verwaltet die Dateisynchronisation für Cloud-Dienste wie OneDrive, iCloud und Google Drive – und ist damit auf praktisch jedem Windows-10- und Windows-11-System vorhanden.

Microsoft bestätigt, dass die Lücke bereits von Angreifern aktiv ausgenutzt wird. Der Fehler vom Typ "Use-After-Free" ermöglicht es lokal angemeldeten Angreifern, ihre Rechte auf SYSTEM-Ebene auszuweiten – die höchste Berechtigungsstufe unter Windows.

„Rechteerweiterungslücken sind bei nahezu jedem erfolgreichen Systemkompromittierung zu beobachten", erklärt Kev Breen, Senior Director of Cyber Threat Research bei Immersive Labs. „Das macht diese Schwachstelle zu einer kritischen Priorität, um die Handlungsmöglichkeiten von Angreifern einzuschränken."

Microsoft schweigt zu Details über die Angreifer, die CVE-2025-62221 ausnutzen. Die Art der Schwachstelle legt jedoch nahe, dass sie als zweite Stufe in Angriffsketten eingesetzt wird: Angreifer verschaffen sich zunächst über Phishing oder Browser-Exploits Zugang zum System und nutzen dann die Zero-Day-Lücke, um vollständige Kontrolle zu erlangen. Da der Cloud Files Driver unabhängig von installierten Cloud-Apps auf allen modernen Windows-Versionen vorhanden ist, ist die Angriffsfläche enorm.

„Clickless"-Gefahr: Kritische Office-Schwachstellen

Neben der aktiv ausgenutzten Zero-Day-Lücke stuft Microsoft drei weitere Schwachstellen als „kritisch" ein – alle drei bergen erhebliche Risiken für Unternehmensnetzwerke.

Besonders gefährlich sind CVE-2025-62554 und CVE-2025-62557, zwei Sicherheitslücken in Microsoft Office. Ihr Schadenspotenzial ist immens, denn sie können bereits durch das bloße Betrachten einer präparierten E-Mail im Outlook-Vorschaufenster aktiviert werden.

„Im schlimmsten Szenario könnte ein Angreifer eine speziell präparierte E-Mail versenden, ohne dass das Opfer sie öffnen, lesen oder auf einen Link klicken muss", warnt Microsoft in seiner Sicherheitsmeldung. „Dies könnte zur Ausführung von Schadcode auf dem System des Opfers führen."

Die dritte kritische Schwachstelle, CVE-2025-62562, betrifft Microsoft Outlook direkt. Zwar ist hier das Vorschaufenster kein Angriffsvektor, dennoch bleibt die Lücke aufgrund der weiten Verbreitung des E-Mail-Clients hochpriorisiert.

Sicherheitsforscher von Qualys und Tenable warnen, dass diese Office-Schwachstellen die wahrscheinlichsten Kandidaten für eine schnelle Weaponisierung durch Ransomware-Gruppen sind – E-Mail-Kampagnen machen die Auslieferung kinderleicht.

Öffentlich bekannte Lücken: Risiken in KI-Tools und PowerShell

Das Dezember-Update schließt außerdem zwei Schwachstellen, die bereits vor dem Patch Tuesday öffentlich bekannt waren – ein Status, der die Entwicklung von Exploit-Code durch Cyberkriminelle typischerweise beschleunigt.

CVE-2025-64671 ist eine Remote-Code-Execution-Lücke im GitHub Copilot Plugin für JetBrains, einer beliebten integrierten Entwicklungsumgebung. Die Schwachstelle basiert auf einer Command-Injection-Lücke, die es Angreifern erlaubt, beliebigen Code auszuführen.

Diese Enthüllung erfolgt inmitten einer breiteren Welle von Sicherheitsforschung zu KI-gestützten Coding-Assistenten. Der Sicherheitsforscher Ari Marzuk hat kürzlich eine Serie von Schwachstellen in KI-Tools unter dem Namen „IDEsaster" aufgedeckt und darauf hingewiesen, dass die Integration von Large Language Models in Entwicklungsumgebungen neue Angriffsvektoren schafft. Bei CVE-2025-64671 könnten Angreifer das Copilot-LLM dazu bringen, bösartige Befehle auszuführen, die Sicherheitseinstellungen wie „Auto-Approve" umgehen.

Die zweite öffentlich bekannte Lücke ist CVE-2025-54100, eine Remote-Code-Execution-Schwachstelle in Windows PowerShell. Mit einem CVSS-Score von 7,8 bewertet, betrifft dieser Fehler Windows Server 2008 und neuere Versionen. Er ermöglicht es nicht authentifizierten Angreifern, Code auszuführen, indem sie die „Mark of the Web"-Sicherheitsfunktion umgehen – jenes Feature, das aus dem Internet heruntergeladene Dateien als nicht vertrauenswürdig kennzeichnet.

Jahresrückblick 2025: Rekordvolumen an Sicherheitslücken

Mit den 57 Fixes im Dezember (bis zu 72, wenn man Komponenten wie Edge/Chromium einbezieht) hat Microsoft 2025 insgesamt etwa 1.129 Schwachstellen geschlossen – ein Rekordwert.

Nach Daten der Zero Day Initiative (ZDI) markiert 2025 das zweitstärkste Jahr für Microsoft-Schwachstellen überhaupt und bedeutet einen Anstieg von 11,9 Prozent gegenüber 2024. Nur 2020 verzeichnete ein höheres Patch-Volumen.

„Während das Jahr zu Ende geht, zeigt das Volumen der Patches, dass sich die Bedrohungslage nicht verlangsamt", erklärt Dustin Childs, Head of Threat Awareness bei ZDI. „Die Verschiebung hin zu Schwachstellen in KI-Tools und Cloud-Infrastrukturkomponenten wie dem Mini Filter Driver deutet darauf hin, dass 2026 noch komplexere Herausforderungen bringen wird."

Handlungsempfehlungen und Ausblick

Die unmittelbare Priorität für IT-Administratoren liegt auf dem Windows Cloud Files Driver (CVE-2025-62221). Da es sich um eine lokale Rechteerweiterungs-Lücke handelt, ist sie das fehlende Puzzlestück für Angreifer, die bereits Zugang zu einem Netzwerk haben, aber administrative Rechte benötigen, um Ransomware einzusetzen oder Daten zu stehlen.

Organisationen, die Ivanti Endpoint Manager und Fortinet-Produkte nutzen, sollten zudem die parallel zu Microsofts Patches veröffentlichten kritischen Updates beachten. Ivanti behob eine kritische Cross-Site-Scripting-Lücke (CVE-2025-10573) mit einem CVSS-Score von 9,6, während Fortinet zwei kritische Authentifizierungs-Bypass-Schwachstellen (CVE-2025-59718 und CVE-2025-59719) in FortiOS adressierte.

Für 2026 erwarten Branchenexperten einen anhaltenden Fokus auf „Living-off-the-Land"-Angriffe, bei denen Cyberkriminelle legitime Systemwerkzeuge wie PowerShell und Cloud-Treiber ausnutzen, anstatt eigene Malware zu installieren. Die Behebung der GitHub-Copilot-Lücke signalisiert zudem, dass die Absicherung der KI-Lieferkette ein dominierendes Thema werden wird.

Handlungsempfehlungen für Administratoren:

Sofort patchen: Windows 10/11 und Server-Systeme wegen CVE-2025-62221
Endgeräte priorisieren: Fokus auf Systeme mit installiertem Outlook zur Eindämmung der Office-Preview-Pane-Risiken
KI-Tools überprüfen: Entwickler-Workstations mit JetBrains/Copilot-Plugins aktualisieren
Drittanbieter-Updates verifizieren: Patches von Adobe, Fortinet und Ivanti ebenfalls installieren

PS: Sie möchten kurzfristig Risiken wie Outlook‑Preview‑Exploits oder den missbräuchlichen Einsatz von Cloud‑Treibern reduzieren? Der kostenlose Leitfaden liefert priorisierte Maßnahmen für Administratoren, Notfall-Playbooks, Anti‑Phishing‑Checks und Empfehlungen für Entwickler‑Workstations mit Copilot‑Plugins. Ideal für IT‑Leiter, die schnelle, praxiserprobte Schritte suchen, um Angriffsflächen zu minimieren, ohne teure Neuanschaffungen. Jetzt Cyber-Security-Leitfaden für Administratoren anfordern

Verwandte Artikel

DroneShield Aktie: Freier Fall

Leonardo Aktie: Wichtiger Durchbruch

Die Basis für die CEE-Expansion

Fiserv Aktie: Sicherheitsskandal

Quantum eMotion Aktie: Massive Rallye