Sicherheitsforscher von ESET haben eine schwerwiegende Windows-Schwachstelle dokumentiert, die Angreifer über mehr als zwölf Monate aktiv ausnutzten. Die als CVE-2025-24983 katalogisierte Lücke im Win32-Kernel erlaubte eine Eskalation auf SYSTEM-Rechte. ESET verknüpft die Ausnutzung mit dem Backdoor-Framework PipeMagic, während Microsoft die Schwachstelle im Security Update Guide als aktiv ausgenutzt führt.
Technische Analyse der Sicherheitslücke
Die entdeckte Schwachstelle basiert auf einer Use-After-Free-Kondition im Windows-Kernel und wurde mit einem CVSS-Score von 7.0 bewertet. Laut ESET ermöglicht sie es Angreifern, auf einem bereits kompromittierten Gerät ihre Rechte bis auf SYSTEM zu erweitern. Microsoft hat die Lücke im März 2025 behoben.
Betroffene Systeme und Ausmaß der Bedrohung
Besonders betroffen waren laut ESET zunächst Windows 8.1 und Windows Server 2012 R2, also Plattformen ohne regulären Sicherheits-Support. ESET weist jedoch darauf hin, dass die Schwachstelle auch in neueren Windows-Versionen vorhanden war, darunter Windows Server 2016 und Windows-10-Builds vor 1809. Besonders kritisch ist, dass die Ausnutzung seit mindestens März 2023 dokumentiert ist.
Verbindung zur PipeMagic-Malware
Die Ausnutzung erfolgte laut ESET über die Backdoor PipeMagic, die zur Datenausleitung, Fernsteuerung und zur Vorbereitung weiterer Schadaktivitäten verwendet wurde. Für Verteidiger ist das relevant, weil die Kernel-Lücke nicht isoliert stand, sondern Teil einer bereits laufenden Angriffskette war.
Einsatz in Ransomware-Kampagnen
PipeMagic ist bereits aus früheren Kampagnen bekannt. Das erhöht das Risiko für Unternehmen, die ältere Windows-Systeme noch in produktiven oder randständigen Umgebungen betreiben und deren EDR- oder Logging-Abdeckung lückenhaft ist.
Betroffene Systeme und empfohlene Maßnahmen
Die Schwachstelle betrifft Windows 8.1, Server 2012 R2, Server 2016 und Windows 10 bis Build 1809. Microsoft hat im März 2025 ein Patch veröffentlicht; da die Ausnutzung seit mindestens März 2023 dokumentiert ist, waren ungepatchte Systeme über einen langen Zeitraum exponiert.
- Patch sofort einspielen: Update für CVE-2025-24983 via Windows Update oder WSUS priorisieren
- Nach PipeMagic suchen: EDR-Logs auf persistente Backdoor-Aktivitäten prüfen, insbesondere unbekannte Dienste mit Systemrechten
- Ältere Windows-Systeme inventarisieren: Windows 8.1 und Server 2012 R2 haben seit 2023 kein reguläres Support-Ende mehr — Legacy-Systeme sind besonders exponiert
- Segmentierung prüfen: Nokoyawa-Kampagnen nutzten diese Schwachstelle für laterale Bewegungen — Netzwerksegmentierung begrenzt den Schaden
