Microsoft hat im November-Patch-Tuesday 63 Schwachstellen in Windows und zugehörigen Komponenten behoben, darunter eine aktiv ausgenutzte 0‑Day (CVE-2025-62215) im Kernel. Vier Lücken sind als kritisch eingestuft, der Rest als hoch. Der Schwerpunkt der Korrekturen reicht von Privilege Escalation über Remote Code Execution (RCE) bis zu Information Disclosure, was aktuelle Angreiferstrategien in Post-Exploitation-Phasen widerspiegelt.
Patch-Prioritäten: Was jetzt zuerst aktualisiert werden sollte
Organisationen sollten Patches für CVE-2025-62215, CVE-2025-60724, CVE-2025-62220 und CVE-2025-60704 priorisieren – beginnend mit exponierten Systemen wie Entwickler-Workstations, Terminalservern, VDI-Umgebungen und Hosts mit intensiver Nutzung grafischer Anwendungen bzw. WSLg. Ein risikobasierter, stufenweiser Rollout mit Vorab-Tests minimiert Betriebsrisiken.
0‑Day CVE‑2025‑62215: Race Condition im Kernel führt zu SYSTEM-Rechten
CVE-2025-62215 ist mit CVSS 7,0 bewertet und laut Microsoft Threat Intelligence Center (MSTIC) und MSRC bereits in gezielten Angriffen im Einsatz. Der Fehler ist eine Race Condition bei Zugriff auf Kernel-Ressourcen, die zu einem double free und Heap-Korruption führt. Ausgehend von einem Nutzerkonto mit geringen Rechten kann ein Angreifer kritische Strukturen im Kernel überschreiben und SYSTEM-Privilegien erlangen. Solche LPE-Bugs werden typischerweise nach dem Erstzugriff (z. B. via Phishing oder über andere Schwachstellen) für Persistenz und Privilegienausweitung genutzt.
Kritische RCE: Grafik-Stack (CVE‑2025‑60724) und WSLg (CVE‑2025‑62220)
Zwei Heap-Überläufe ermöglichen Remote Code Execution: CVE-2025-60724 (CVSS 9,8) im grafischen Komponenten-Stack und CVE-2025-62220 (CVSS 8,8) in der Windows Subsystem for Linux GUI (WSLg). Erfolgreiche Ausnutzung führt zur Ausführung beliebigen Codes mit Rechten des aktuellen Benutzers. Besonders gefährdet sind interaktive Arbeitsplätze, auf denen komplexe Grafik-Workloads oder WSLg aktiv genutzt werden.
Kerberos „CheckSum“ (CVE‑2025‑60704): Risiken für Domänenauthentifizierung
Die CVE-2025-60704 (CVSS 7,5), von Silverfort als CheckSum bezeichnet, resultiert aus einem fehlenden kryptografischen Prüfschritt in Kerberos. Dies eröffnet Angriffsflächen für Man-in-the-Middle-Szenarien und potenzielle Identitätsübernahmen. In Active-Directory-Domänen kann eine Schwächung der Kerberos-Integrität schnell zur Kompromittierung weiterer Ressourcen eskalieren.
Statistik: So verteilt sich der November-Release
Von den 63 Schwachstellen sind 4 kritisch und 59 wichtig. Nach Klassen: 29 betreffen Elevation of Privilege, 16 Remote Code Execution, 11 Information Disclosure; weitere Punkte umfassen Denial of Service, Security Feature Bypass und Spoofing. Die Verteilung unterstreicht den Trend zu kombinierten Angriffsketten aus Erstzugriff, Privilegieneskalation und seitlicher Bewegung.
ESU für Windows 10: Start und außerplanmäßiger Fix
Parallel hat Microsoft das erste Paket Extended Security Updates (ESU) für Windows 10 nach Ende des regulären Supports veröffentlicht. Registrierungsprobleme einiger Kunden in der ESU-Programmteilnahme wurden per außerplanmäßigem Update behoben, um den Zugang zum erweiterten Supportkanal wiederherzustellen.
Empfehlungen für Härtung und Detection
– Rollout-Reihenfolge: Systeme mit Internet-Exposition, privilegierte Admin-Workstations, Entwickler- und VDI-Umgebungen, dann Server mit Grafik-/WSLg-Workloads.
– Monitoring: Ereignisse zu fehlgeschlagenen Token-/Handle-Operationen und anomalen Kernel-Fehlern (Hinweise auf LPE), Kerberos-Anomalien (z. B. Inkonsistenzen bei Checksummen, ungewöhnliche AS-/TGS-Requests) sowie EDR-Alerts zu Heap-/Use-after-free-Exploits.
– Prävention: EDR-Signaturen zeitnah aktualisieren, Application Control/Attack Surface Reduction durchsetzen, Credential Guard und LSA Protection prüfen, nach Patch-Deployments Integritäts- und Kompatibilitätschecks durchführen.
Zeitnahes Patchen, risikobasierte Priorisierung und belastbares Monitoring reduzieren die Kompromittierungswahrscheinlichkeit signifikant. Technische Details und betroffene Produkte sollten in der Microsoft Security Update Guide geprüft werden; bekannte aktiv ausgenutzte Schwachstellen lassen sich zusätzlich im CISA KEV-Katalog verifizieren. Organisationen sollten kurzfristig ein Wartungsfenster planen, Kompatibilität testen und die Updates produktiv einspielen.
