Eine schwerwiegende Sicherheitslücke in einer Windows-Kernkomponente versetzt Administratoren weltweit in Alarmbereitschaft. Nachdem Microsoft die Schwachstelle bereits im Oktober geschlossen hatte, zwingt nun die Veröffentlichung eines funktionsfähigen Exploit-Codes zum schnellen Handeln. Was bedeutet das konkret für Unternehmen und Behörden?

Die als CVE-2025-55680 katalogisierte Schwachstelle ermöglicht es Angreifern, ihre Rechte auf einem Windows-System auf das höchste Privilegienniveau anzuheben – und zwar bis zur vollständigen SYSTEM-Kontrolle. Sicherheitsorganisationen wie das Health Information Sharing and Analysis Center (H-ISAC) schlugen heute Alarm: Der öffentlich verfügbare Proof-of-Concept-Exploit senke die technische Einstiegshürde für Cyberkriminelle dramatisch. Die Zeit zum Patchen läuft ab.

Kritische Lücke im Cloud-Treiber

Die Schwachstelle steckt im Windows Cloud Files Mini Filter Driver, einer Systemkomponente, die Cloud-Speicherdienste wie OneDrive ermöglicht. Dieser Treiber sorgt dafür, dass Cloud-Dateien als lokale Platzhalter erscheinen, während die eigentlichen Daten in der Cloud liegen.

Sicherheitsforscher von Exodus Intelligence entdeckten den Fehler bereits im März 2024 und meldeten ihn verantwortungsvoll an Microsoft. Das Unternehmen stufte die Lücke mit einem CVSS-Score von 7,8 von 10 möglichen Punkten als „High Severity" ein. Der Patch erschien am 14. Oktober 2025 als Teil eines umfangreichen Patch-Tuesday-Updates, das insgesamt fast 175 Sicherheitslücken schloss.

Doch was macht diese spezielle Schwachstelle so gefährlich? Ein Angreifer, der bereits lokalen Zugriff mit einfachen Benutzerrechten besitzt, kann seine Privilegien auf SYSTEM-Ebene ausweiten – die höchste Berechtigungsstufe in Windows. Damit erhält er praktisch uneingeschränkte Kontrolle über das kompromittierte System.

Race Condition als Einfallstor

Technisch handelt es sich bei CVE-2025-55680 um eine sogenannte Time-of-Check-to-Time-of-Use-Schwachstelle, eine besonders tückische Art von Race Condition. Der Fehler liegt in der Funktion zur Erstellung von Cloud-Datei-Platzhaltern verborgen.

So funktioniert der Angriff: Der Treiber überprüft zunächst die Gültigkeit eines vom Nutzer angegebenen Dateinamens, um bösartige Pfadangaben zu verhindern. Zwischen dieser Sicherheitsprüfung und der tatsächlichen Dateierstellung im Kernel klafft jedoch eine winzige zeitliche Lücke – und genau hier setzt der Exploit an.

Ein Angreifer startet zwei parallel laufende Prozesse: Der eine fordert wiederholt die Erstellung eines Platzhalters mit legitimem Namen an, der andere manipuliert den Dateinamen im Speicher, um auf ein geschütztes Systemverzeichnis wie C:\Windows\System32 zu verweisen. Da der manipulierte Pfad erst nach der Sicherheitsprüfung eingefügt wird, erstellt der Kernel arglos eine Datei mit erhöhten Rechten am geschützten Ort. Darüber kann der Angreifer eine bösartige DLL einschleusen, die anschließend von einem Systemdienst geladen wird – die Privilegieneskalation ist komplett.

Proof-of-Concept verschärft die Lage

Obwohl der Patch seit fast einem Monat verfügbar ist, nahm die Bedrohung Anfang November eine neue Dimension an. Die Veröffentlichung eines funktionsfähigen Exploit-Codes macht die Schwachstelle laut H-ISAC-Bulletin vom 10. November „deutlich besorgniserregender".

Warum diese Eskalation? Ein öffentlicher Proof-of-Concept senkt die technische Hürde erheblich. Auch weniger versierte Angreifer können den Code nun replizieren und für Attacken nutzen. Microsoft hatte die Schwachstelle bereits als „Exploitation More Likely" eingestuft – der öffentliche Exploit-Code verwandelt diese Wahrscheinlichkeit nun in eine akute Bedrohung.

Interessanterweise fehlt CVE-2025-55680 bislang im Known Exploited Vulnerabilities Catalog (KEV) der US-Cybersicherheitsbehörde CISA, der nur aktiv ausgenutzten Schwachstellen listet. Doch die Verfügbarkeit eines PoC gilt häufig als Vorbote für großangelegte Angriffswellen. Kein Wunder also, dass Sicherheitsexperten eine zeitnahe Aufnahme erwarten.

Baustein in der Angriffskette

Schwachstellen zur lokalen Rechteerweiterung wie CVE-2025-55680 bilden ein entscheidendes Glied in der Angriffskette. Sie verschaffen zwar keinen initialen Netzwerkzugriff, sind aber unverzichtbar für die Eskalation von Attacken.

Die typische Vorgehensweise: Cyberkriminelle erlangen zunächst über Phishing oder die Ausnutzung öffentlich zugänglicher Dienste einen ersten Zugriff – meist mit eingeschränkten Nutzerrechten. Eine LPE-Schwachstelle ermöglicht es ihnen dann, aus dieser beschränkten Umgebung auszubrechen, administrative Kontrolle zu erlangen und sich lateral im Netzwerk zu bewegen. Von dort aus können sie Sicherheitssoftware deaktivieren, sensible Daten exfiltrieren oder Ransomware ausrollen.

Der Windows Cloud Files Mini Filter Driver gerät dabei zunehmend ins Visier: CVE-2025-55680 markiert die 17. Schwachstelle in dieser Komponente seit 2022. Diese Häufung verdeutlicht, wie komplex es ist, Kernel-Komponenten abzusichern, die zwischen Nutzeranwendungen und Betriebssystemkern vermitteln. Selbst geringfügige logische Fehler können hier schwerwiegende Sicherheitsfolgen haben.

Sofortiges Handeln erforderlich

Die wirksamste Gegenmaßnahme bleibt klar: Installation der Microsoft-Sicherheitsupdates vom 14. Oktober 2025. Angesichts des öffentlich verfügbaren Exploits ist jedes ungepatchte Windows-System mit Cloud Files Driver einem erheblichen Risiko ausgesetzt. Systemadministratoren sollten das Patchen zur absoluten Priorität erklären.

Darüber hinaus empfehlen Sicherheitsexperten eine mehrschichtige Verteidigungsstrategie. Dazu gehört die konsequente Umsetzung des Prinzips der minimalen Rechte: Nutzerkonten erhalten nur die für ihre Aufgaben unbedingt notwendigen Berechtigungen. Ergänzend können Richtlinien zur Anwendungskontrolle wie Windows Defender Application Control (WDAC) oder AppLocker verhindern, dass unautorisierte DLLs in Systemprozesse geladen werden.

Sicherheitsteams sollten außerdem verdächtige Dateiaktivitäten in Systemverzeichnissen und ungewöhnliches Verhalten bei Cloud-Synchronisationsprozessen überwachen. Die Cybersecurity-Community beobachtet die Lage aufmerksam: Anzeichen für aktive Ausnutzung in groß angelegten Kampagnen werden weithin erwartet – es ist nur eine Frage der Zeit.