Microsoft kämpft mit neuen Sicherheitslücken nach letztem Patch Tuesday

Microsofts letzte Sicherheitsupdates für 2025 bringen dringende Patches, doch eine neue Zero-Day-Lücke sorgt für zusätzlichen Druck. US-Behörden setzen jetzt Fristen.

Berlin – Microsofts letzter „Patch Tuesday“ des Jahres 2025 hinterlässt ein gemischtes Bild: Zwar schloss der Konzern fast 60 Sicherheitslücken, darunter drei Zero-Day-Schwachstellen. Doch nur 72 Stunden später bestätigten Sicherheitsforscher eine neue, ungepatchte Lücke – ein Rückschlag in einer ohnehin angespannten Cybersicherheitslage. Während Unternehmen die Dezember-Updates eilig installieren, verschärft die US-Cybersicherheitsbehörde CISA den Druck mit verbindlichen Fristen für Behörden.

Kurz nach der offiziellen Veröffentlichung der Patches tauchte ein neues Problem auf. Forscher des Unternehmens 0patch entdeckten eine Zero-Day-Schwachstelle im Windows Remote Access Connection Manager (RasMan). Dieser Dienst ist zentral für die Verwaltung von VPN- und Netzwerkverbindungen.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und gerade jetzt erhöht eine neue Zero‑Day in RasMan zusammen mit der aktiv ausgenutzten Cloud‑Files‑Lücke das Risiko für Betriebsstörungen. Das kostenlose E‑Book für IT‑Verantwortliche liefert Prioritäten für sofortiges Patch‑Management, einfache Kontrollen für VPN‑Dienste und eine Checkliste, mit der Sie Ihr SOC auch bei Personalmangel gezielt schützen. Jetzt kostenlosen Cyber‑Security‑Leitfaden herunterladen

Die Lücke ermöglicht es Nutzern ohne Administratorrechte, den RasMan-Dienst zum Absturz zu bringen und Netzwerkoperationen zu stören. Microsoft bestätigte das Problem am Montag, den 15. Dezember. Ein Sprecher teilte mit, man sei sich des „Denial-of-Service-Problems bewusst“ und werde es in einem künftigen Update beheben.

Aktuell erlaubt die Schwachstelle weder die Ausführung von Fremdcode noch den Diebstahl von Daten. Sie birgt jedoch erhebliche operative Risiken. „Die eigentliche Gefahr liegt darin, dass sie mit anderen Exploits kombiniert werden könnte“, warnen Analysten. Da von Microsoft noch kein offizieller Fix vorliegt, hat 0patch bereits einen Mikropatch für seine Kunden bereitgestellt – ein Zeichen für die wachsende Abhängigkeit von Drittanbieter-Lösungen bei akuten Bedrohungen.

CISA setzt Frist für kritische Cloud-Files-Lücke

Herzstück der Dezember-Updates ist die Behebung von CVE-2025-62221. Diese hochkritische Schwachstelle im Windows Cloud Files Mini Filter Driver wird bereits aktiv ausgenutzt. Angreifer mit eingeschränkten Zugriffsrechten können sich damit SYSTEM-Privilegien verschaffen – die höchste Kontrollebene auf einem Windows-Rechner.

Betroffen ist der Treiber cldflt.sys, eine Kernkomponente für Cloud-Speicherdienste wie OneDrive, Google Drive und iCloud. Experten warnen jedoch: Die Lücke existiert auch, wenn diese Anwendungen nicht installiert sind, da der Treiber zum Betriebssystem gehört.

Aufgrund der aktiven Ausnutzung nahm CISA die Schwachstelle diese Woche in ihren Katalog bekannter, ausgenutzter Sicherheitslücken (KEV) auf. Die Behörde verpflichtet alle US-Bundesbehörden, den Patch bis spätestens 30. Dezember 2025 einzuspielen.

„Das ist eine klassische ‚stille Killer‘-Schwachstelle“, kommentiert ein Sicherheitsanalyst von CrowdStrike. „Sie erfordert lokalen Zugang, aber sobald ein Angreifer Fuß fasst – etwa durch eine Phishing-E-Mail – übergibt dieser Fehler ihm den Schlüssel zum Königreich.“

KI- und Entwicklungstools im Fokus

Die Updates adressieren auch kritische Risiken in Entwicklungswerkzeugen und KI-Integrationen. Dies spiegelt den Branchentrend, die Sicherheit der Software-Lieferkette stärker in den Blick zu nehmen.

Zwei weitere Schwachstellen wurden als Zero-Days eingestuft, da sie öffentlich bekannt wurden, bevor ein Fix verfügwar:
* CVE-2025-64671 (GitHub Copilot für JetBrains): Eine Remote-Code-Ausführungslücke im beliebten KI-Coding-Assistenten. Sie könnte Angreifern erlauben, schädliche Befehle in die Entwicklungsumgebung einzuschleusen.
* CVE-2025-54100 (PowerShell): Eine Remote-Code-Ausführungslücke in Windows PowerShell. Microsoft stuft die Ausnutzungswahrscheinlichkeit zwar als „geringer“ ein, doch die öffentliche Bekanntmachung erhöht das Risiko, dass Angreifer in den kommenden Wochen Exploits entwickeln.

„Das Patchen von KI-Tools wie GitHub Copilot markiert eine neue Frontlinie im Vulnerability-Management“, stellen Forscher von Tenable fest. „Wenn KI integraler Bestandteil des Programmierens wird, ist die Sicherheit dieser Plugins genauso kritisch wie die des Betriebssystems selbst.“

Rekordjahr für Microsoft-Sicherheitslücken

Mit dem Dezember-Paket übersteigt die Gesamtzahl der von Microsoft in 2025 behobenen Sicherheitslücken die Marke von 1.100. Es ist das zweite Jahr in Folge, dass der Konzern die Schwelle von 1.000 Lücken durchbricht. Diese Menge spiegelt sowohl die wachsende Komplexität des Windows-Ökosystems als auch die intensivierte Prüfung durch die Sicherheitsforschung wider.

Als Reaktion auf diesen Druck kündigte Microsoft Anfang des Monats eine große Erweiterung seines Bug-Bounty-Programms an. Die neue Richtlinie „In Scope By Default“ stellt sicher, dass jede Schwachstelle in einem Microsoft-Online-Dienst belohnt wird – unabhängig davon, ob sie zuvor explizit im Programm definiert war.

Kritische Phase zum Jahresende

Für IT-Administratoren beginnt eine heikle Phase. Die Kombination aus verbindlicher Patch-Frist (30. Dezember), neuen ungepatchten Bedrohungen und der typischerweise reduzierten Personalbesetzung in Security Operations Centers (SOCs) während der Feiertage könnte sich zum „perfekten Sturm“ für Sicherheitsvorfälle entwickeln.

Microsoft hat noch keinen konkreten Zeitplan für den offiziellen RasMan-Patch genannt. Branchenbeobachter erwarten ihn mit dem ersten „Patch Tuesday“ im Januar 2026, es sei denn, ein außerplanmäßiges Update wird nötig. Bis dahin raten Experten Unternehmen, den Status des RasMan-Dienstes zu überwachen und die Dezember-Updates vorrangig einzuspielen, um die aktiv ausgenutzte Cloud-Files-Lücke zu schließen.

PS: IT‑Sicherheit stärken, ohne ein großes Budget oder zusätzliche Teams — dieser Gratis‑Leitfaden zeigt praxiserprobte Sofortmaßnahmen: wie Sie Systeme härten, Phishing‑Angriffe abwehren, Mikropatches sicher einbinden und eine effektive Incident‑Response‑Checkliste nutzen, bis offizielle Fixes verfügbar sind. Perfekt für Administratoren, die CISA‑Fristen einhalten und das Ausfallrisiko durch Zero‑Days wie RasMan sofort reduzieren möchten. Gratis E‑Book: Cyber‑Security‑Trends & Sofortmaßnahmen herunterladen