Microsoft: Zero-Day-Lücke im Windows-Kernel wird aktiv ausgenutzt

Microsoft schließt mit seinem November-Sicherheitsupdate eine kritische Schwachstelle, die bereits von Angreifern ausgenutzt wird. Die Sicherheitslücke im Windows-Kernel ermöglicht Hackern die vollständige Systemkontrolle. Insgesamt werden 63 Schwachstellen behoben – fünf davon stuft der Konzern als kritisch ein.

Das monatliche Patch-Tuesday-Update betrifft nahezu alle wichtigen Microsoft-Produkte: Windows, Office, SQL Server, Edge, Visual Studio und Hyper-V. Die Fixes beheben vor allem Schwachstellen zur Rechteausweitung und Remote-Code-Ausführung. IT-Sicherheitsexperten raten dringend zur sofortigen Installation.

Die größte Gefahr: Aktiv ausgenutzte Zero-Day-Lücke

CVE-2025-62215 steht im Zentrum der Aufmerksamkeit. Diese Schwachstelle im Windows-Kernel wird bereits aktiv von Angreifern ausgenutzt – noch bevor Microsoft einen Patch bereitstellen konnte. Gelingt die Ausnutzung, können Angreifer ihre Rechte auf SYSTEM-Level erweitern und das komplette System übernehmen.

Passend zum Thema IT-Sicherheit: Die aktive Ausnutzung von Zero-Day-Schwachstellen wie CVE-2025-62215 zeigt, wie schnell Angreifer eskalieren können. Unser kostenloses E‑Book erklärt, welche Prioritäten IT-Teams jetzt setzen sollten, wie Patches und Konfigurations-Checks kurzfristig Risiko reduzieren und welche einfachen Maßnahmen Behörden und Mittelständler sofort umsetzen können. Inklusive praktischer Checkliste für Patch-Management. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Die Schwachstelle basiert auf einer Race Condition. Dabei nutzen Angreifer Timing-Probleme bei gleichzeitigen Prozessen aus, um eigene Befehle einzuschleusen. Zwar müssen Hacker zunächst lokalen Zugriff erlangen, doch dann steht ihnen die höchste Berechtigungsstufe offen.

Die US-Cybersecurity-Behörde CISA hat die Lücke bereits in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Bundesbehörden müssen den Patch bis zum 3. Dezember 2025 einspielen. Sicherheitsanalysten warnen: Solche Rechteausweitung-Lücken bilden oft den zweiten Schritt einer Angriffskette – nach einem initialen Phishing-Angriff oder einem anderen Exploit.

Vier weitere kritische Sicherheitslücken

Neben der Zero-Day-Schwachstelle stuft Microsoft vier weitere Lücken als kritisch ein. Besonders gefährlich: CVE-2025-60724 in der Microsoft-Grafikkomponente GDI+. Mit einem CVSS-Score von 9,8 von 10 möglichen Punkten erreicht diese Schwachstelle die höchste Gefahrenstufe.

Angreifer könnten Nutzer dazu verleiten, ein präpariertes Dokument mit einer manipulierten Metadatei zu öffnen. Danach ließe sich beliebiger Code ohne weitere Nutzerinteraktion ausführen. Ein klassischer Angriffsvektor, der keine technischen Hürden für die Opfer aufbaut.

Die weiteren kritischen Schwachstellen im Überblick:

• CVE-2025-62199: Use-after-free-Lücke in Microsoft Office ermöglicht Remote-Code-Ausführung über manipulierte Dokumente
• CVE-2025-60716: Rechteausweitung im DirectX Graphics Kernel verschafft lokalen Angreifern SYSTEM-Rechte
• CVE-2025-62214: Command-Injection-Schwachstelle in Visual Studio erlaubt Remote-Code-Ausführung

Warum diese Lücken so gefährlich sind? Sie ermöglichen die komplette Systemübernahme durch externe Angreifer – der GAU für IT-Sicherheit.

Breites Update-Spektrum und Windows 10 ESU

Die 63 Patches verteilen sich über verschiedene Kategorien: 29 beheben Rechteausweitung, 16 Remote-Code-Ausführung, 11 Informationslecks. Hinzu kommen Fixes für Denial-of-Service, Spoofing und Umgehung von Sicherheitsfunktionen. Windows selbst erhält 39 Patches, Office 12.

Besonderheit im November: Erstmals erscheinen Patches für Windows 10 im Rahmen des kostenpflichtigen Extended Security Update (ESU)-Programms. Windows 10 erreichte am 14. Oktober 2025 offiziell sein Lebensende. Organisationen ohne Windows-11-Migration müssen sich nun in das ESU-Programm einkaufen, um weiterhin Sicherheitsupdates zu erhalten.

Microsoft veröffentlichte sogar ein außerplanmäßiges Update, um einen Fehler zu beheben, der einige Nutzer an der ESU-Registrierung hinderte. Das zeigt: Der Übergang läuft nicht reibungslos.

Experten raten zur sofortigen Installation

Die Sicherheitsbranche ist sich einig: Diese Patches gehören unverzüglich installiert. Die aktiv ausgenutzte Windows-Kernel-Lücke CVE-2025-62215 hat absolute Priorität. Zwar benötigen Angreifer zunächst lokalen Zugriff – doch dann wird die Schwachstelle zum mächtigen Werkzeug für die Angriffseskalation.

Adam Barnett, leitender Software-Ingenieur bei Rapid7, ordnet die GDI+-Schwachstelle CVE-2025-60724 ebenfalls als besonders kritisch ein: „Diese Lücke ist eindeutig sehr ernst und sollte für praktisch jeden oberste Priorität haben, der über die Patch-Strategie dieses Monats nachdenkt.”

Die allgegenwärtige Nutzung der Grafikbibliothek macht die Lücke zu einem weitreichenden Problem. Praktisch jedes Windows-System ist potenziell betroffen.

Installation über Windows Update

Die Installation erfolgt über die Windows-Update-Funktion in den Systemeinstellungen. Nutzer sollten dort nach neuen Updates suchen und diese umgehend installieren. Ein Neustart ist für die vollständige Installation erforderlich.

Angesichts der aktiv ausgenutzten Zero-Day-Lücke und mehrerer kritischer Schwachstellen ist schnelles Handeln die wirksamste Verteidigung. Die ständige Entdeckung und Ausnutzung von Sicherheitslücken unterstreicht die anhaltende Bedrohungslage für Privatnutzer und Organisationen gleichermaßen.

PS: Viele Entscheider unterschätzen die Folgen unzureichender Cyber‑Hygiene — gerade wenn Windows-Systeme aufgrund fehlender Migration im ESU-Modus verbleiben müssen. Unser kostenfreier Leitfaden richtet sich an Geschäftsführer und IT-Verantwortliche: Praxisnahe Strategien zur Priorisierung von Patches, Compliance-Checks und Maßnahmen, mit denen Sie die IT-Sicherheit sofort stärken können — ohne neue Fachkräfte anstellen zu müssen. Gratis-Leitfaden zur Stärkung Ihrer IT-Sicherheit anfordern