Microsoft hat am gestrigen Patch Tuesday eine kritische Sicherheitslücke im Windows-Kernel geschlossen, die bereits von Angreifern aktiv ausgenutzt wird. Die als CVE-2025-62215 identifizierte Schwachstelle ermöglicht es Hackern, vollständige Systemkontrolle zu erlangen – IT-Administratoren sollten umgehend handeln.

Die Schwachstelle wurde von Microsofts eigenem Threat Intelligence Center entdeckt und als Teil eines umfassenden Sicherheitsupdates behoben, das insgesamt 63 Lücken im Microsoft-Ökosystem schließt. Doch während die meisten Patches präventiv wirken, steht CVE-2025-62215 ganz oben auf der Prioritätenliste: Die Lücke wird nachweislich bereits in freier Wildbahn ausgenutzt.

Wie die Schwachstelle funktioniert

Bei CVE-2025-62215 handelt es sich um eine kritische Schwachstelle zur Rechteausweitung im Kern des Windows-Betriebssystems. Angreifer, die bereits eingeschränkten Zugriff auf ein System erlangt haben, können die Lücke nutzen, um SYSTEM-Rechte zu erlangen – die höchste Berechtigungsstufe unter Windows.

Mit diesen Privilegien ausgestattet, können Kriminelle Sicherheitssoftware deaktivieren, Malware installieren oder sensible Daten entwenden. Die Schwachstelle basiert auf einer sogenannten Race Condition: Mehrere Prozesse laufen zeitgleich und unsynchronisiert ab, wodurch sich ein Zeitfenster für Speichermanipulationen öffnet.

Obwohl Microsoft die Ausnutzung als "komplex" einstuft, zeigt die aktive Verwendung in Angriffskampagnen, dass erfahrene Hacker einen zuverlässigen Weg gefunden haben, die Lücke zu bewaffnen. Der CVSS-Schweregrad liegt bei 7.0 ("Wichtig").

Gefahr durch gezielte Angriffskampagnen

Microsoft schweigt bisher zu Details der laufenden Angriffe. Sicherheitsexperten warnen jedoch eindringlich: Rechteausweitung-Lücken wie diese gehören zum Standardwerkzeug professioneller Angreifer.

Typischerweise nutzen Hacker solche Schwachstellen in der zweiten Phase eines Angriffs. Nach dem initialen Eindringen – etwa durch Phishing oder andere Sicherheitslücken – verschaffen sie sich mit CVE-2025-62215 tieferen Systemzugriff und bewegen sich lateral durch Netzwerke.

Dustin Childs von Trend Micros Zero Day Initiative erklärt: „Solche Bugs werden häufig mit Code-Ausführungs-Schwachstellen kombiniert, um Systeme vollständig zu übernehmen." Mike Walters, Präsident von Action1, betont die Dringlichkeit: „Ein funktionierender Exploit existiert bereits – fähige Akteure können dies zuverlässig in gezielten Kampagnen einsetzen."

Dass bislang kein öffentlicher Proof-of-Concept kursiert, deutet darauf hin, dass die Ausnutzung derzeit auf eine kleine Gruppe hochspezialisierter Angreifer beschränkt ist. Das dürfte sich jedoch ändern, sobald Sicherheitsforscher oder Kriminelle den Patch analysiert haben.

63 Schwachstellen im November-Update

Die Behebung des Zero-Days war das Highlight eines umfangreichen Sicherheitsupdates. Microsoft schloss insgesamt 63 unterschiedliche Schwachstellen in Windows, Office, Visual Studio und Azure Monitor Agent.

Über 30 der Lücken ermöglichten Rechteausweitung, 22 weitere hätten Remote-Code-Execution erlaubt. Vier Schwachstellen erhielten die höchste Einstufung "Kritisch", darunter CVE-2025-60724 in der Microsoft Graphics Component mit einem CVSS-Wert von 9.8 – allerdings schätzt Microsoft die Ausnutzungswahrscheinlichkeit hier als gering ein.

Zusätzlich markierte Microsoft drei Schwachstellen im Windows Ancillary Function Driver für WinSock (CVE-2025-60719, CVE-2025-62213 und CVE-2025-62217) als „Ausnutzung wahrscheinlich" – ein deutliches Warnsignal für erhöhtes Risiko.

Was IT-Teams jetzt tun müssen

Die bestätigte aktive Ausnutzung macht sofortiges Handeln unumgänglich. Organisationen sollten das November-Update unverzüglich ausrollen – insbesondere auf kritischen Systemen wie Domänencontrollern, Servern und Administrator-Arbeitsplätzen.

Race-Condition-Schwachstellen gelten zwar als schwieriger auszunutzen als andere Fehlerklassen, doch der erfolgreiche Einsatz in echten Angriffen beweist ein hohes Maß an Angreifer-Expertise. CVE-2025-62215 ist bereits die elfte Rechteausweitung-Lücke im Windows-Kernel, die Microsoft allein im Jahr 2025 schließen musste – ein beunruhigender Trend.

IT-Sicherheitsteams sollten zentrale Patch-Management-Systeme wie Microsoft Update oder WSUS nutzen, um eine flächendeckende Verteilung sicherzustellen. Gleichzeitig empfiehlt sich verstärktes Monitoring auf ungewöhnliche Aktivitäten, insbesondere auf Prozesse, die versuchen, höhere Berechtigungen zu erlangen.

Mit der öffentlichen Bekanntgabe der Lücke beginnt nun ein Wettlauf: Sicherheitsforscher und Kriminelle werden versuchen, den Patch zurückzuentwickeln, um die genaue Funktionsweise zu verstehen. Ein öffentlich verfügbarer Exploit würde die Zahl potenzieller Angreifer dramatisch erhöhen – was diese Schwachstelle zu einer Zeitbombe für alle ungepatchen Systeme macht.