Microsoft: Zero-Day-Lücke wird aktiv ausgenutzt

Microsoft schließt im letzten Patch Tuesday des Jahres 57 Sicherheitslücken – darunter eine kritische Schwachstelle, die bereits von Angreifern missbraucht wird. Sicherheitsexperten warnen: Gerade in der Weihnachtszeit schlagen Cyberkriminelle besonders häufig zu.

Die Dringlichkeit ist diesmal außergewöhnlich hoch. Neben der aktiv ausgenutzten Lücke hat Microsoft zwei weitere Zero-Day-Schwachstellen gepatcht, bei denen Angreifer zum Zeitpunkt der Veröffentlichung bereits Bescheid wussten. IT-Administratoren sollten diese Updates mit oberster Priorität einspielen – die Gefahr ist real und unmittelbar.

Im Mittelpunkt steht CVE-2025-62221, eine Schwachstelle im Windows Cloud Files Mini Filter Driver. Microsoft bestätigte am 9. Dezember, dass diese Lücke bereits in echten Angriffen zum Einsatz kommt.

Die Schwachstelle ermöglicht es Angreifern, ihre Rechte zu erweitern und SYSTEM-Privilegien zu erlangen – die höchste Berechtigungsstufe in Windows. Mit einem CVSS-Score von 7,8 gilt die Lücke als hochgefährlich. Das Problem: Ein sogenannter „Use-After-Free”-Fehler, bei dem die Software auf bereits freigegebenen Speicher zugreift.

Aktuelle Zero-Day-Angriffe und KI-gestützte Schwachstellen wie CVE-2025-62221 und die Copilot-Prompt-Injection zeigen: Viele Unternehmen sind nicht ausreichend vorbereitet. Der kostenlose Leitfaden “Cyber Security Awareness Trends” erläutert praxisnah, welche Schutzmaßnahmen jetzt Priorität haben, wie Sie Risiken ohne hohe Investitionen mindern und welche neuen KI-Regeln auf Sie zukommen. Inklusive Checklisten für Patch-Management, Incident Response und Phishing-Abwehr – ideal für IT-Leiter und Sicherheitsverantwortliche. Jetzt kostenlosen Cyber-Security-Guide herunterladen

„Solche Fehler werden oft mit Code-Execution-Bugs kombiniert, um ein System komplett zu übernehmen”, erklärt Dustin Childs von Trend Micros Zero Day Initiative. Besonders brisant: Die Schwachstelle betrifft offenbar alle noch unterstützten Windows-Versionen. Die potenzielle Angriffsfläche ist damit riesig.

Die US-Cybersecurity-Behörde CISA reagierte umgehend und setzte CVE-2025-62221 auf ihre Liste bekannter ausgenutzter Schwachstellen. Bundesbehörden in den USA müssen den Patch nun innerhalb einer strikten Frist einspielen.

KI-Tools im Visier: Gefährliche Schwachstelle in Copilot

Die zunehmende Integration von künstlicher Intelligenz bringt neue Sicherheitsrisiken mit sich. Das zeigt eine weitere kritische Lücke in diesem Patch-Paket: Microsoft hat eine „Cross Prompt Injection”-Schwachstelle in GitHub Copilot geschlossen.

Was kompliziert klingt, ist in der Praxis hochgefährlich. Angreifer können über präparierte Dateien oder kompromittierte Model Context Protocol (MCP) Server zusätzliche Befehle in das System einschleusen. Die Malware versteckt sich quasi in den Anweisungen an die KI.

„Ein Angreifer kann über eine bösartige Cross Prompt Injection zusätzliche Kommandos ausführen, indem er sie an erlaubte Terminal-Befehle anhängt”, warnt Microsoft in seinem Advisory. Für Entwickler, die Copilot täglich nutzen, wird das Update zur Pflicht.

Die Schwachstelle markiert einen Wendepunkt: Sicherheitsforscher hatten einen Anstieg „KI-nativer” Schwachstellen vorhergesagt. Der Dezember-Patch beweist, dass diese Entwicklung längst Realität ist.

Unternehmenskritische Systeme betroffen

Auch wenn Microsoft diesmal keine Schwachstellen mit dem Höchststatus „Kritisch” meldete – eine Seltenheit beim Patch Tuesday – sollten Unternehmen wachsam bleiben. Mehrere als „Wichtig” eingestufte Lücken erreichen CVSS-Scores von 8,8 und stellen erhebliche Risiken dar.

SharePoint Server steht auf der Prioritätenliste ganz oben. CVE-2025-64672 ermöglicht Remote Code Execution und könnte Angreifern Zugriff auf unternehmenskritische Datenbanken verschaffen. Zwei weitere hochgefährliche Schwachstellen stecken im Windows Resilient File System (ReFS) – sie erlauben das Umgehen von Sicherheitskontrollen oder das Ausführen beliebigen Codes.

Auch Cloud-Infrastrukturen sind betroffen: Der Azure Monitor Agent weist eine Schwachstelle auf, die für Unternehmen mit Hybrid-Cloud-Umgebungen besonders relevant ist. Hinzu kommt eine Lücke im Windows Routing and Remote Access Service (RRAS) – ein Netzwerkdienst, der häufig über das Internet erreichbar ist.

Rekordjahr für Sicherheitslücken

Der Dezember-Patch beschließt ein arbeitsintensives Jahr für Microsofts Sicherheitsteams. Insgesamt schloss der Konzern 2025 sage und schreibe 1.139 Schwachstellen – das zweithöchste Volumen aller Zeiten.

„2025 liegt nur elf CVEs hinter dem Rekordjahr 2020″, analysiert Dustin Childs von Trend Micro. „Da Microsofts Portfolio weiter wächst und KI-Bugs zunehmen, wird diese Zahl 2026 vermutlich noch steigen.”

Die schiere Menge an Patches zeigt, wie komplex die Absicherung moderner IT-Umgebungen geworden ist. Die Copilot-Schwachstelle deutet bereits an, welche neuen Herausforderungen 2026 auf Sicherheitsverantwortliche warten. KI-Sicherheit wird zur eigenständigen Disziplin.

Was jetzt zu tun ist

Besonders heikel: Die aktiv ausgenutzte Zero-Day-Lücke trifft auf die Weihnachtszeit, in der viele IT-Teams mit reduzierter Besetzung arbeiten. Genau dieses Zeitfenster nutzen Cyberkriminelle besonders gern aus.

Diese Maßnahmen dulden keinen Aufschub:

CVE-2025-62221 sofort patchen. Alle Windows-Endgeräte müssen das Update erhalten, insbesondere internetexponierte Systeme und Rechner von wichtigen Zielpersonen.

Entwicklertools aktualisieren. Wer Copilot nutzt, sollte das Update umgehend installieren, um Prompt-Injection-Angriffe zu verhindern.

Unternehmensserver absichern. SharePoint und Azure Monitor Agent benötigen die Updates dringend, um laterale Bewegungen im Netzwerk zu unterbinden.

Microsoft hat den Termin für den Januar-2026-Patch Tuesday noch nicht bekannt gegeben. Üblicherweise findet er am zweiten Dienstag des Monats statt. Bis dahin bleibt nur eine Strategie: Wachsamkeit und schnelles Handeln bei den heutigen Updates sind der beste Schutz gegen die Bedrohungen zum Jahresende.

PS: Wenn Sie für die Sicherheit Ihrer Unternehmensnetze verantwortlich sind, sollten Sie sich diesen kompakten Gratis-Report nicht entgehen lassen. Er enthält sofort umsetzbare Checklisten für Patch-Management, Prioritäten für SharePoint, Azure Monitor Agent und Windows-Endgeräte sowie Hinweise zum Umgang mit KI-Risiken und Phishing. Kostenloser Download für IT-Verantwortliche per E‑Mail. Kostenlosen Cyber-Security-Report anfordern