Microsoft schließt aktiv ausgenutzte Windows-Sicherheitslücke
10.12.2025 - 05:41:12Microsoft schließt 57 Schwachstellen, darunter eine aktiv ausgenutzte Zero-Day-Lücke im Windows Cloud-Treiber. Kritische Patches für Office und PowerShell erfordern sofortiges Handeln.
Microsoft hat gestern seine finalen Sicherheitsupdates für 2025 veröffentlicht und dabei 57 Schwachstellen im gesamten Produktportfolio geschlossen. Der Dezember-Patchday wird von einem kritischen Fix für eine bereits aktiv ausgenutzten Zero-Day-Lücke im Windows Cloud Files Mini Filter Driver dominiert – neben zwei weiteren öffentlich bekannten Schwachstellen.
Die Gesamtzahl der Patches fällt zwar niedriger aus als in den Vormonaten, doch die Brisanz der geschlossenen Lücken – insbesondere in Microsoft Office und zentralen Windows-Komponenten – erfordert sofortiges Handeln von Systemadministratoren. Und das noch vor der üblichen Jahresendflaute in der IT.
Aktiv angegriffene Lücke im Cloud-Treiber
Die dringendste Schwachstelle trägt die Bezeichnung CVE-2025-62221 und betrifft den Windows Cloud Files Mini Filter Driver (cldflt.sys). Diese Kernel-Komponente synchronisiert lokale Dateien mit Cloud-Speicherdiensten wie OneDrive – und enthält eine gefährliche “Use-After-Free”-Schwachstelle.
Laut Microsofts Sicherheitshinweis vom 9. Dezember wird diese Lücke bereits in freier Wildbahn ausgenutzt. Trotz eines CVSS-Scores von 7,8 und der Einstufung als “wichtig” statt “kritisch” macht die aktive Ausnutzung den Patch zur obersten Priorität. Angreifer, die bereits Code auf einem Zielsystem ausführen können, verschaffen sich über die Lücke SYSTEM-Rechte – und damit vollständige Kontrolle über die Maschine.
Unternehmen sind aktuell massiv gefährdet — aktiv ausgenutzte Zero-Day‑Lücken wie CVE-2025-62221 ermöglichen Angreifern SYSTEM-Rechte. Das kostenlose E‑Book “Cyber Security Awareness Trends” fasst die neuesten Bedrohungen, relevante Gesetzesänderungen (inkl. KI-Regulierung) und praxisnahe Schutzmaßnahmen zusammen. Es zeigt, wie Sie ohne großes Budget effektive Schutzschichten aufbauen, typische Angriffsvektoren priorisieren und ein pragmatisches Patch-Management einführen. Jetzt kostenloses Cyber-Security-E‑Book herunterladen
“Privilege-Escalation-Schwachstellen beobachten wir bei nahezu jedem Kompromittierungsvorfall. Dieser Patch ist daher entscheidend, um die Möglichkeiten von Angreifern einzuschränken”, betonte Kev Breen, Senior Director of Cyber Threat Research bei Immersive Labs, gestern in einer Stellungnahme.
PowerShell und GitHub Copilot: Öffentlich bekannte Lücken
Neben der aktiv ausgenutzten Schwachstelle schloss Microsoft zwei Lücken, die bereits vor dem Update öffentlich bekannt waren – was das Risiko einer breit angelegten Ausnutzung erhöht.
CVE-2025-54100 ermöglicht Remote Code Execution (RCE) in Windows PowerShell und erreicht einen CVSS-Score von 7,8. Die Command-Injection-Lücke erlaubt Angreifern potenziell die Ausführung beliebigen Codes. Allerdings erfordert die Ausnutzung Nutzerinteraktion – Angreifer müssten Opfer also per Social Engineering dazu bringen, eine manipulierte Datei oder ein Skript herunterzuladen und zu öffnen.
Die zweite öffentlich bekannte Schwachstelle CVE-2025-64671 betrifft GitHub Copilot für JetBrains-IDEs. Mit einem CVSS-Score von 8,4 ermöglicht diese Command-Injection-Lücke das Umgehen von Terminal-“Auto-Approve”-Mechanismen. Durch Einschleusen bösartiger Befehle in vertrauenswürdige Copilot-Kontexte können Angreifer Schadcode unbemerkt ausführen. Diese Schwachstelle verdeutlicht die wachsende Angriffsfläche durch KI-gestützte Entwicklungstools.
Kritische Office-Lücken: Phishing-Gefahr steigt
Für Unternehmensumgebungen sind die Office-Patches in diesem Monat besonders relevant. Microsoft schloss zwei kritische Remote-Code-Execution-Schwachstellen: CVE-2025-62554 und CVE-2025-62557.
Die Lücken betreffen Microsoft Excel und Word. CVE-2025-62554 beinhaltet eine “Untrusted Pointer Dereference” in Excel, während CVE-2025-62557 eine “Use-After-Free”-Schwachstelle in Word darstellt. Beide Lücken ermöglichen Angreifern die Ausführung beliebigen Codes auf dem System des Opfers – vorausgesetzt, dieses öffnet ein speziell präpariertes, manipuliertes Dokument.
Angesichts der Zunahme von Phishing-Angriffen in der Weihnachtszeit empfehlen Sicherheitsexperten, diese Office-Updates vorrangig einzuspielen. Dokumentenbasierte Malware-Kampagnen dürften in den kommenden Wochen deutlich zunehmen.
Weitere kritische Updates von Drittanbietern
Die Dezember-Sicherheitslandschaft reicht über Microsofts Ökosystem hinaus. Mehrere große Hersteller veröffentlichten diese Woche kritische Updates, die parallel zu den Windows-Patches priorisiert werden sollten:
- Ivanti schloss CVE-2025-10573, eine kritische Schwachstelle im Endpoint Manager (EPM). Die mit 9,6 auf der CVSS-Skala bewertete Lücke ermöglicht nicht-authentifizierten Angreifern die Remote-Ausführung von Schadcode über eine Cross-Site-Scripting-Schwachstelle (XSS).
- Fortinet behob zwei kritische Authentication-Bypass-Lücken (CVE-2025-59718 und CVE-2025-59719) in FortiOS und anderen Produkten. Diese Schwachstellen erlauben nicht-authentifizierten Angreifern unter bestimmten Konfigurationen das Umgehen von FortiCloud-SSO-Login-Mechanismen.
Gefährlicher Dezember: Angriffe zur Unzeit
Der Dezember-Patchday 2025 fällt vom Umfang her deutlich schmaler aus als im Vorjahr, als über 70 Fixes veröffentlicht wurden. Doch die drei Zero-Day-Schwachstellen – eine davon unter aktiver Ausnutzung – unterstreichen die anhaltende Raffinesse der Bedrohungsakteure.
“Das Timing dieser Updates ist kritisch”, erklärte Dustin Childs, Leiter der Bedrohungsaufklärung bei Trend Micros Zero Day Initiative, gestern in seiner Analyse. “Während IT-Mitarbeiter häufig im Urlaub sind und Organisationen Change-Freezes verhängen, nutzen Angreifer die Gelegenheit, ungepatchte Systeme auszunutzen – wenn die Abwehr als geschwächt wahrgenommen wird.”
Die “Use-After-Free”-Natur der aktiv ausgenutzten CVE-2025-62221 reiht sich in einen Trend ein, der sich durch das gesamte Jahr 2025 zog: Memory-Safety-Probleme in Kernel-Treibern bleiben ein primärer Vektor für Privilege Escalation.
Ausblick auf 2026
Mit Abschluss des Patch-Zyklus 2025 sollten Organisationen diese Updates umgehend einspielen, um ihre Netzwerke vor den Jahresendferien abzusichern. Microsofts nächster planmäßiger Sicherheitsupdate-Termin ist Dienstag, der 14. Januar 2026.
Für 2026 erwartet die Branche einen verstärkten Fokus auf die Absicherung KI-gestützter Tools – wie der GitHub-Copilot-Patch dieses Monats zeigt. Je tiefer sich diese Werkzeuge in Entwicklungs-Workflows verankern, desto mehr entstehen neuartige Einfallstore für Angreifer, die traditionelle Security-Scanner möglicherweise übersehen.
Hinweis: Die Informationen in diesem Artikel basieren auf offiziellen Sicherheitshinweisen und Branchenberichten vom 10. Dezember 2025. Systemadministratoren sollten stets die offizielle Herstellerdokumentation für präzise Patch-Anweisungen konsultieren.
PS: Gerade zur Jahreszeit, wenn IT-Teams reduziert sind, steigt das Risiko ungepatchter Systeme. Sichern Sie Ihre Organisation mit dem kostenlosen Praxisleitfaden “Cyber Security Awareness Trends”: sofort umsetzbare Maßnahmen gegen Phishing, Checklisten für Patch-Management und Empfehlungen zur Absicherung KI-gestützter Tools. Ideal für Geschäftsführer und IT-Verantwortliche, die schnell Schutzwirkung erzielen möchten. Kostenlosen Cyber-Guide jetzt anfordern
