Microsoft: Zero-Day-Lücke im Windows-Kernel wird aktiv ausgenutzt

REDMOND, USA – Microsoft hat seine November-Sicherheitsupdates veröffentlicht und schließt damit 63 Schwachstellen. Im Fokus steht eine Zero-Day-Lücke im Windows-Kernel, die bereits aktiv von Angreifern ausgenutzt wird. Systemadministratoren stehen unter Hochdruck, die Patches unverzüglich zu installieren – es geht um nicht weniger als die vollständige Kontrolle über Windows-Systeme.

Die Sicherheitslücken betreffen das gesamte Microsoft-Portfolio: Windows, Office, .NET, Visual Studio und SQL Server. Vier Schwachstellen stuft der Konzern als „kritisch” ein, 59 weitere als „wichtig”. Was bedeutet das konkret? Die Bandbreite reicht von Fernsteuerung über Rechteausweitung bis hin zu gezielten Systemabstürzen.

Das Herzstück der November-Updates: der Fix für CVE-2025-62215. Diese kritische Lücke im Windows-Kernel wird nachweislich in freier Wildbahn ausgenutzt. Mit einem CVSS-Score von 7.0 bewertet, basiert die Schwachstelle auf einer sogenannten „Race Condition” – der Kernel verarbeitet gleichzeitige Zugriffe auf gemeinsame Ressourcen fehlerhaft.

Viele erfolgreiche Angriffe beginnen mit einer scheinbar harmlosen Phishing‑E‑Mail, die Angreifern den ersten Systemzugang verschafft – genau der Weg, den Exploit-Ketten wie jene für Kernel‑Lücken nutzen. Ein kostenloses Anti‑Phishing‑Paket zeigt IT‑Verantwortlichen und Administratoren, wie Sie gefälschte Mails erkennen, Mitarbeiter schulen und CEO‑Fraud verhindern. Mit einer praxiserprobten 4‑Schritte‑Checkliste und sofort einsetzbaren Vorlagen senken Sie das Risiko messbar. Jetzt Anti‑Phishing‑Paket anfordern

Wie gehen Angreifer vor? Sie benötigen zunächst einen Zugang zum System, etwa durch Phishing oder andere Sicherheitslücken. Anschließend genügt eine speziell präparierte Anwendung, um die Race Condition auszunutzen. Der Lohn: SYSTEM-Rechte, also die höchste Berechtigungsstufe. Damit steht Angreifern die Tür für Malware-Installation, Datendiebstahl oder laterale Netzwerkbewegungen weit offen. Entdeckt wurde die Lücke von Microsofts eigenen Sicherheitsteams, dem Threat Intelligence Center (MSTIC) und dem Security Response Center (MSRC).

Kritische Fernsteuerungslücken in Office und Grafikkomponenten

Doch die Zero-Day-Lücke ist nicht allein. CVE-2025-60724 sticht besonders hervor: ein Heap-basierten Pufferüberlauf in der Microsoft-Grafikkomponente GDI+ mit einem CVSS-Score von 9.8 – nahezu perfekt auf der Gefahrenskala. Angreifer müssen lediglich Nutzer zum Öffnen eines präparierten Dokuments bewegen oder eine bösartige Datei auf einen Webservice hochladen, der Bilder verarbeitet. Die Folge: Ferngesteuerte Codeausführung, ganz ohne weitere Nutzerinteraktion.

Eine weitere Bedrohung lauert in Microsoft Office selbst. CVE-2025-62199 ermöglicht Remote Code Execution durch manipulierte Dokumente – bereits das Öffnen oder die Vorschau reicht aus. Zusätzlich schließt Microsoft einen hochschweren Pufferüberlauf im Windows Subsystem für Linux GUI (CVE-2025-62220) sowie eine Rechteausweitung in Windows Kerberos (CVE-2025-60704).

Rechteausweitung als bevorzugte Angriffsmethode

Ein klares Muster zeichnet sich ab: 29 der 63 behobenen Schwachstellen betreffen Rechteausweitung – mit Abstand die größte Kategorie. Was sagt uns das? Angreifer setzen zunehmend auf mehrstufige Angriffsszenarien. Zunächst verschaffen sie sich einen bescheidenen Zugang, um dann durch eine zweite Lücke – wie die Kernel-Zero-Day – zum Schlag auszuholen.

Warum ist gerade eine Kernel-Schwachstelle so brisant? Der Kernel bildet die privilegierteste Ebene des Betriebssystems. Ein Angriff hier umgeht praktisch alle Sicherheitsmechanismen. Sicherheitsexperten beobachten regelmäßig, wie solche Lücken mit Code-Ausführungs-Schwachstellen kombiniert werden, um Systeme vollständig zu übernehmen. Die US-Cybersicherheitsbehörde CISA hat CVE-2025-62215 bereits in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen – Bundesbehörden müssen bis zum 3. Dezember 2025 patchen.

Sofortiges Handeln alternativlos

Die Botschaft von Microsoft und Sicherheitsexperten könnte nicht deutlicher sein: Die November-Updates müssen umgehend installiert werden. Höchste Priorität haben die Windows-Kernel-Lücke (CVE-2025-62215) und die kritische GDI+-Schwachstelle (CVE-2025-60724).

Systeme mit aktiviertem Windows Update erhalten die Patches automatisch. IT-Administratoren in Unternehmen sollten jedoch Tests priorisieren und die Updates zügig im gesamten Netzwerk ausrollen. Ein besonderer Hinweis gilt Nutzern von Windows 10: Das Betriebssystem erhält keine regulären Sicherheitsupdates mehr. Wer nicht auf eine aktuelle Windows-Version upgraden kann, sollte das Extended Security Updates (ESU)-Programm in Betracht ziehen, um weiterhin kritische Patches wie diese zu erhalten. Die kontinuierliche Entdeckung und Ausnutzung fundamentaler Schwachstellen zeigt: Proaktives Patch-Management bleibt eine der wichtigsten Verteidigungslinien gegen ausgeklügelte Cyberbedrohungen.

Übrigens: Phishing ist oft der erste Schritt in mehrstufigen Angriffen — von der initialen Infektion bis zur Kernel‑Übernahme. Dieses kostenlose Anti‑Phishing‑Paket erklärt die Psychologie hinter gefälschten Mails, zeigt aktuelle Angriffsmuster und liefert konkrete Abwehr‑Maßnahmen, die Sie sofort in Ihrer Organisation umsetzen können. Perfekt für IT‑Leiter und Sicherheitsbeauftragte, die Angriffsflächen wirksam reduzieren wollen. Anti‑Phishing‑Paket kostenlos herunterladen