Microsoft schließt aktiv ausgenutzten Windows-Kernel-Exploit

Eine kritische Sicherheitslücke im Windows-Kernel wird bereits von Angreifern ausgenutzt. Microsoft mahnt zur sofortigen Installation der November-Updates – insgesamt wurden 63 Schwachstellen behoben.

Mit seinem November-Patchday adressiert Microsoft eine besorgniserregende Bedrohung: Die als CVE-2025-62215 gelistete Zero-Day-Lücke im Windows-Kernel ermöglicht es Angreifern, ihre Rechte auf kompromittierten Systemen auszuweiten. Die Schwachstelle wird nachweislich bereits in freier Wildbahn ausgenutzt. Noch alarmierender: Von den insgesamt 63 geschlossenen Sicherheitslücken betreffen allein 29 die Ausweitung von Nutzerrechten – ein beliebter Angriffsvektor moderner Cyberkrimineller.

Privileg-Eskalationen bilden das Herzstück zeitgemäßer Cyberangriffe. Haben Angreifer durch Phishing oder andere Methoden erst einmal einen Fuß in der Tür, nutzen sie solche Schwachstellen, um sich SYSTEM-Rechte zu verschaffen. Damit übernehmen sie die vollständige Kontrolle über kompromittierte Rechner und können Ransomware ausrollen, sensible Daten abgreifen oder sich dauerhaft im Netzwerk einnisten.

Passend zum Thema Phishing und Rechte‑Eskalationen: Immer häufiger verschaffen sich Angreifer per Phishing oder manipulierten Dateien den Erstzugang und nutzen lokale Schwachstellen wie CVE‑2025‑62215, um SYSTEM‑Rechte zu erlangen. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie gefälschte Mails erkennen, CEO‑Fraud verhindern und Mitarbeiter dauerhaft schulen. Mit Praxis‑Checklisten fürs IT‑Team und sofort umsetzbaren Schutzmaßnahmen. Anti‑Phishing‑Paket jetzt gratis downloaden

Die Schwachstelle CVE-2025-62215 erreicht einen CVSS-Score von 7,0 und basiert auf einer sogenannten Race-Condition. Diese Art von Fehler entsteht, wenn mehrere Prozesse gleichzeitig auf dieselbe Ressource zugreifen, ohne dass dies ordnungsgemäß synchronisiert wird. Ein Angreifer mit lokalem Zugang kann eine speziell präparierte Anwendung ausführen und dieses Zeitfenster ausnutzen. Die Folge: Speichermanipulation, die es ermöglicht, Code mit höchsten Systemrechten auszuführen.

Entdeckt wurde die Lücke von Microsofts eigenen Sicherheitsteams – dem Threat Intelligence Center (MSTIC) und dem Security Response Center (MSRC). Details zu den Angriffen oder den dahinterstehenden Akteuren hält das Unternehmen unter Verschluss. Die bestätigte aktive Ausnutzung macht CVE-2025-62215 jedoch zur absoluten Priorität für IT-Abteilungen. Die US-Cybersicherheitsbehörde CISA hat die Schwachstelle bereits in ihren Katalog bekanntermaßen ausgenutzter Schwachstellen aufgenommen und Bundesbehörden zur schnellen Patch-Installation aufgefordert.

Systematisches Problem: Fast die Hälfte aller Lücken ermöglicht Rechteausweitung

Der Kernel-Exploit ist nur die Spitze des Eisbergs. Fast die Hälfte aller im November geschlossenen Schwachstellen – exakt 29 – ermöglichen Angreifern die Ausweitung ihrer Rechte. Diese Häufung zeigt: Cyberkriminelle zielen systematisch auf Windows-Komponenten, die ihnen den Sprung von einer einfachen Nutzerkennung zu vollständiger Systemkontrolle ermöglichen.

Neben dem Kernel-Zero-Day wurden kritische Privileg-Eskalationen in zahlreichen Windows-Diensten beseitigt. Besonders hervorzuheben ist eine kritische Lücke im DirectX Graphics Kernel (CVE-2025-60716), die ebenfalls SYSTEM-Rechte ermöglicht. Weitere wichtige Patches betreffen das Customer Experience Improvement Program (CVE-2025-59512), Windows Client-Side Caching (CVE-2025-60705) und mehrere Schwachstellen im Ancillary Function Driver für WinSock. Zusätzlich wurde eine hochgradige Sicherheitslücke in Windows Kerberos (CVE-2025-60704) geschlossen – diese könnte Angreifern ermöglichen, sich als andere Nutzer auszugeben und Administrator-Rechte zu erlangen.

Vier kritische Schwachstellen erhöhen das Risiko zusätzlich

Vier der behobenen Lücken stuft Microsoft als “kritisch” ein. Zwei davon ermöglichen Remote Code Execution (RCE) – oft der erste Schritt eines Angriffs. Besonders gefährlich ist CVE-2025-60724 in der Windows-GDI+-Komponente mit einem CVSS-Score von 9,8. Ein Angreifer muss lediglich einen Nutzer dazu bringen, ein präpariertes Dokument zu öffnen – danach läuft die Code-Ausführung ohne weitere Interaktion ab.

Weitere kritische RCE-Lücken betreffen Microsoft Office (CVE-2025-62199) und Visual Studio (CVE-2025-62214). Die Kombination leicht ausnutzbarer RCE-Schwachstellen mit den zahlreichen Privileg-Eskalationen ergibt ein gefährliches Arsenal für Angreifer. Sicherheitsexperten warnen: Diese Lücken lassen sich verketten. Ein RCE-Fehler verschafft den Erstzugang, eine Schwachstelle wie CVE-2025-62215 die vollständige Systemübernahme.

Taktik moderner Ransomware-Gangs: Von der Phishing-Mail zur Systemkontrolle

Die massive Zahl an Privileg-Eskalationen ist eine direkte Antwort auf die Vorgehensweise moderner Cyberkrimineller, insbesondere Ransomware-Banden. Sicherheitsforscher betonen: Die Ausweitung von Rechten ist ein entscheidender Post-Exploitation-Schritt, der es Angreifern ermöglicht, Sicherheitssoftware zu deaktivieren, sich lateral im Netzwerk zu bewegen und ihre Schadsoftware großflächig zu verteilen.

Die aktuelle Schwachstellen-Serie passt perfekt in dieses Angriffsmuster. “Lokale Privileg-Eskalationen dienen häufig als zweite Stufe in umfassenderen Angriffsketten, besonders nach Phishing- oder Browser-basierten Einbrüchen”, analysierte SOCRadar den Patch-Tuesday. Ben McCarthy, leitender Cybersecurity-Ingenieur bei Immersive, beschrieb detailliert, wie Angreifer mit einer präparierten Anwendung die Race-Condition in CVE-2025-62215 auslösen, den Kernel-Heap korrumpieren und den Ausführungsfluss des Systems übernehmen können. Selbst Schwachstellen, die Erstzugang voraussetzen, sind für Angreifer mit weitreichenden Zielen extrem wertvoll.

Sofortmaßnahmen: Patchen, Schulen, Überwachen

Die Entdeckung eines aktiv ausgenutzten Zero-Days erfordert unverzügliches Handeln aller Windows-Nutzer und Administratoren. Microsoft und Cybersicherheitsbehörden empfehlen eindringlich die umgehende Installation der November-Updates. Da viele dieser Schwachstellen voraussetzen, dass Angreifer bereits einen Fuß in der Tür haben, sollten Organisationen auch ihre Erstverteidigung verstärken.

Dazu gehören kontinuierliche Mitarbeiterschulungen zur Erkennung von Phishing-Versuchen, der Einsatz aktiver Endpoint-Detection-and-Response-Lösungen (EDR) sowie die konsequente Umsetzung des Least-Privilege-Prinzips. Nur so lässt sich der potenzielle Schaden durch kompromittierte Nutzerkonten begrenzen.

Das wiederkehrende Auftreten von Privileg-Eskalations-Zero-Days unterstreicht eine unbequeme Wahrheit: Patchen ist keine Routineaufgabe, sondern eine kritische Verteidigungsmaßnahme gegen aktive und sich weiterentwickelnde Bedrohungen. Organisationen müssen schnelles und umfassendes Patch-Management zur Priorität machen, um diese gefährlichen Gelegenheitsfenster zu schließen, bevor Angreifer sie ausnutzen können.

PS: Sie haben bereits Patches eingespielt und EDR im Einsatz – trotzdem bleiben Phishing‑Angriffe eine der häufigsten Einfalltore. Der kostenlose Anti‑Phishing‑Guide zeigt eine 4‑Schritte‑Strategie zur Hacker‑Abwehr: Erkennung, technische Hürden, Verhaltenstraining und Notfall‑Checkliste. Enthalten sind Schulungsvorlagen, Vorfallsprozesse und branchenspezifische Tipps, die IT‑Verantwortliche sofort umsetzen können. Anti‑Phishing‑Guide jetzt kostenlos anfordern