Windows-Sicherheit: Neue Kernel-Lücken und akute Patch-Pflicht

Doppelschlag für Windows: Neue Kernel-Schwachstellen kommen kurz vor Frist für kritische Zero-Day-Patch. Während Unternehmen unter Hochdruck eine behördliche Frist zur Schließung einer aktiv ausgenutzten Lücke einhalten müssen, zeigen Forscher systemische Schwächen in Treibern auf. Der Angriffsvektor im Windows-Kernel ist offenbar größer als gedacht.

Systemische Schwächen in Kernel-Treibern entdeckt

Forscher der WhiteHat School veröffentlichten heute eine Studie, die grundlegende Design-Schwachstellen in Windows-Kernel-Treibern offenlegt. Der Bericht “Hunting Windows Local Privilege Escalation via Kernel Drivers and Named Pipes” zeigt: Viele Treiber verarbeiten Anfragen von Nutzeranwendungen, ohne die Quelle oder die Sicherheit der Daten ausreichend zu prüfen.

“Kernel-Treiber operieren im Kern des Systems – oft mit minimaler Validierung”, so das Forscherteam. Sie demonstrierten, wie Angreifer unsichere Speicheroperationen, sogenannte “memmove”-Funktionen, ausnutzen können. Diese kopieren Daten ohne ausreichende Prüfungen. Durch Manipulation lässt sich so geschützter Kernel-Speicher lesen und beschreiben, was Windows-Sicherheitskontrollen umgeht.

Sicherheitsexperten warnen: Kernel‑Schwachstellen wie unsichere Drittanbieter‑Treiber und memmove‑Fehler ermöglichen Angreifern lokale Rechteausweitung bis auf SYSTEM‑Level. Wer für Netzwerk‑ oder Endpunkt‑Sicherheit verantwortlich ist, sollte jetzt pragmatische Schutzschritte kennen – von Treiber‑Hardening und WDAC‑Kontrollen bis zu Named‑Pipes‑Monitoring und Priorisierung offener Patches. Dieses kostenlose E‑Book fasst aktuelle Awareness‑Trends, konkrete Abwehrmaßnahmen und sofort umsetzbare Empfehlungen für Administratoren kompakt zusammen. Gratis E‑Book “Cyber Security Awareness Trends” herunterladen

Besonders brisant: Die Schwachstellen betreffen oft Drittanbieter-Treiber und veralteten Code, der bei Standard-Sicherheitsscans durchs Raster fällt. Die Forscher zeigten, wie sich diese Lücken nutzen lassen, um Token-Zeiger zu manipulieren und so vollständige administrative Kontrolle über ein System zu erlangen.

Heute Nacht endet Frist für kritischen Zero-Day-Patch

Die Enthüllung trifft auf eine akute Krisensituation. Heute, am 30. Dezember 2025, endet die Frist der US-Cybersicherheitsbehörde CISA für Bundesbehörden. Sie müssen bis dahin die kritische Zero-Day-Schwachstelle CVE-2025-62221 im Windows Cloud Files Mini Filter Driver patchen.

Microsoft schloss das als “Use-after-free”-Lücke klassifizierte Loch bereits mit den Dezember-Updates. Dennoch bleibt es eine ernste Bedrohung. Mit einem CVSS-Score von 7,8 ermöglicht es einem authentifizierten Angreifer lokale Rechteausweitung. Microsoft bestätigte, dass die Lücke bereits vor dem Patch aktiv ausgenutzt wurde.

“CISA hat CVE-2025-62221 deshalb in seinen Katalog bekannter, ausgenutzter Schwachstellen aufgenommen”, erklären Branchenanalysten. Private Unternehmen werden dringend aufgefordert, dem Beispiel der Behörden zu folgen. Ransomware-Gruppen könnten die Lücke sonst für die seitliche Bewegung in kompromittierten Netzwerken nutzen.

2025: Das Jahr der Kernel-Angriffe

Das Jahresende steht im Zeichen einer Welle von Angriffen auf Kernel-Ebene. Erst im November 2025 behebt Microsoft CVE-2025-62215 – eine weitere aktiv ausgenutzte Kernel-Lücke durch eine Race Condition. Hier “gewinnen” Angreifer ein Rennen gegen das System, um Speicher zu korrumpieren.

Der Trend ist alarmierend: Angreifer fokussieren sich zunehmend auf den Windows-Kernel, um moderne Endpoint Protection zu umgehen. Kompromittierte Treiber mit hohen Privilegien ermöglichen es, Sicherheitssoftware zu deaktivieren, die eigene Präsenz zu verbergen (via Rootkits) und unentdeckt im Netzwerk zu verbleiben.

Die heutige Forschung unterstreicht zudem die Rolle von Named Pipes. Diese Mechanik zur Prozesskommunikation stellt einen bedeutenden Angriffsvektor dar. Über sie können Angreifer schadhafte Daten an anfällige Treiber senden und so die Rechteausweitung auslösen – ohne komplexe Exploit-Ketten.

So reagiert die Branche: Zwei-Punkte-Plan empfohlen

Sicherheitsexperten raten zu einem zweigleisigen Vorgehen. Punkt eins ist nicht verhandelbar: die sofortige Einhaltung der CISA-Frist für CVE-2025-62221. “Ein erfolgreicher Angreifer könnte SYSTEM-Berechtigungen erlangen”, warnt Microsofts Advisory. Das macht die Lücke zum begehrten Ziel für Initial-Access-Broker.

Punkt zwei betrifft die neuen Treiber-Schwachstellen und erfordert eine umfassendere Bestandsaufnahme. Administratoren sollten:

1. Treiber-Ladung einschränken: Richtlinien wie Windows Defender Application Control (WDAC) nutzen, um anfällige oder unsignierte Treiber zu blockieren.
2. Alle Treiber aktualisieren: Nicht nur das Betriebssystem, sondern auch alle Hardware- und Drittanbietertreiber auf den neuesten Stand bringen.
3. Named Pipes überwachen: Security Operations Centers (SOCs) sollten ihre Erkennungsregeln auf ungewöhnliche Aktivitäten im Zusammenhang mit Named Pipes und Kernel-Treibern abstimmen.

Während 2025 zu Ende geht, richtet sich der Blick bereits auf 2026. Die Herausforderung wird sein, den Kernel gegen “Bring Your Own Vulnerable Driver” (BYOVD)-Angriffe abzuhärten. Das Wettrennen zwischen Verteidigern, die bekannte Lücken schließen, und Forschern, die neue aufdecken, nimmt kein Ende.

Weitere relevante Schwachstellen:
* CVE-2025-62221: Windows Cloud Files Mini Filter Driver (Patch-Frist: 30. Dezember 2025)
* CVE-2025-62215: Race Condition im Windows-Kernel (Gepatcht: November 2025)
* CVE-2025-54100: Command Injection in Windows PowerShell (Gepatcht: Dezember 2025)

PS: Angesichts laufender CISA‑Fristen und aktiv ausgenutzter Kernel‑Lücken sollten IT‑Leads schnelle, umsetzbare Empfehlungen zur Absicherung kennen. Dieses kompakte, kostenlose E‑Book zeigt Mittelstand und Behörden, wie sich Risiken priorisieren lassen, welche kurzfristigen Härtungsmaßnahmen (Treiber‑Whitelisting, Patch‑Priorisierung, Monitoring) sofort wirken und wie SOCs ihre Erkennungsregeln anpassen. Jetzt kostenlosen Cyber‑Security‑Report anfordern