Microsoft beendet das Jahr 2025 mit einem sicherheitsrelevanten Patch Tuesday: Insgesamt wurden 57 Sicherheitslücken in Windows, Office, PowerShell und GitHub Copilot behoben. Drei Schwachstellen gelten als 0‑Day, eine davon wird bereits aktiv ausgenutzt und erlaubt Angreifern die Erlangung von SYSTEM-Rechten unter Windows. Für Unternehmen ist dieser Patchday sicherheitstechnisch besonders relevant.
Dezember-Patchday: Drei 0‑Day-Schwachstellen im Microsoft-Ökosystem
Nach Microsoft-Definition zählen zu 0‑Day-Schwachstellen sowohl Sicherheitslücken mit bestätigter aktiver Ausnutzung als auch Lücken, deren Details vor Veröffentlichung des Patches öffentlich geworden sind. Im Dezember-Paket finden sich drei solcher Fälle: eine bereits ausgenutzte Privilegienerweiterung in Windows sowie zwei vorab veröffentlichte Schwachstellen in GitHub Copilot for JetBrains und Windows PowerShell.
Diese Konstellation verdeutlicht, wie wichtig schnelles Patch-Management und das Monitoring öffentlich gemeldeter Schwachstellen geworden sind. Sicherheitslücken in Kerntechnologien wie Windows, Office und Entwicklungswerkzeugen werden heute innerhalb kurzer Zeit in Angriffsketten integriert, insbesondere wenn Exploit-Details öffentlich vorliegen.
Windows-Rechteausweitung auf SYSTEM: CVE‑2025‑62221 im Fokus
Als besonders kritisch stufen Experten die Schwachstelle CVE‑2025‑62221 ein. Sie ist mit CVSS 7,8 bewertet und betrifft den Windows Cloud Files Mini Filter Driver. Technisch handelt es sich um einen use-after-free-Fehler: Speicher, der bereits freigegeben wurde, kann erneut angesprochen werden. Angreifer können dieses fehlerhafte Speicherhandling ausnutzen, um eigenen Code mit erhöhten Rechten auszuführen.
Ein bereits authentifizierter Angreifer kann dadurch seine Rechte lokal bis auf SYSTEM-Level ausweiten. Dieses höchste Berechtigungsniveau erlaubt unter anderem das Installieren von Backdoors, das Deaktivieren von Sicherheitsmechanismen sowie das dauerhafte Verankern in der Infrastruktur. Microsofts Threat Intelligence Center (MSTIC) und das Security Response Center (MSRC) berichten, dass CVE‑2025‑62221 bereits in realen Angriffen ausgenutzt wird. Aus Rücksicht auf laufende Ermittlungen veröffentlicht Microsoft derzeit keine technischen Exploit-Details.
Im selben Treiber wurde mit CVE‑2025‑62454 eine weitere, ähnlich gelagerte Schwachstelle (ebenfalls CVSS 7,8) geschlossen. Auch sie ermöglicht eine lokale Privilegienerweiterung und gilt damit als aussichtsreiche Zielkomponente für künftige Angriffe, falls Systeme ungepatcht bleiben.
Neue Angriffsflächen durch KI-gestützte Entwicklung und Automatisierung
CVE‑2025‑64671: Command-Injection in GitHub Copilot for JetBrains
Die 0‑Day-Schwachstelle CVE‑2025‑64671 betrifft GitHub Copilot for JetBrains und wird als command injection klassifiziert. Angreifer können bei der Arbeit mit nicht vertrauenswürdigen Projektdateien oder MCP-Servern über Prompt-Injection lokalen Code einschleusen und ausführen. Entdeckt wurde die Schwachstelle vom Sicherheitsforscher Ari Marzuk im Rahmen der Studie „IDEsaster: A Novel Vulnerability Class in AI IDEs“.
Obwohl bislang keine aktive Ausnutzung gemeldet wurde, zeigt diese Lücke, dass KI-gestützte Entwicklungsumgebungen zu einem neuen, systemkritischen Angriffsvektor werden. Entwicklungsumgebungen verfügen oft über weitreichende Rechte, Zugriff auf Quellcode-Repositories, Geheimnisse (Secrets) und Build-Pipelines. Ein erfolgreicher Angriff auf die IDE kann daher unmittelbar in Supply-Chain-Risiken münden.
CVE‑2025‑54100: PowerShell Invoke-WebRequest als Risiko
Die zweite vorab offengelegte 0‑Day-Schwachstelle, CVE‑2025‑54100, betrifft Windows PowerShell und wird ebenfalls als Command-Injection geführt. Sie erlaubt die Ausführung von Skripten, die in einer Webseite eingebettet sind, sobald diese mit Invoke-WebRequest abgerufen wird. Laut Microsoft liegt die Ursache in einer unzureichenden Neutralisierung spezieller Zeichen, die in Befehlen verwendet werden.
Als Gegenmaßnahme hat Microsoft das Verhalten von Invoke-WebRequest geändert: Nutzer erhalten nun einen Hinweis und sollen explizit den Parameter -UseBasicParsing setzen, um das Risiko ungewollter Codeausführung zu minimieren. Für Administratoren, DevOps-Teams und Betreiber von CI/CD-Pipelines ist dies ein Anlass, bestehende Automatisierungsskripte und Infrastruktur-Templates systematisch zu überprüfen und anzupassen.
Microsoft Office: Remote Code Execution über die Preview Pane
Zusätzlich adressiert der Dezember-Patchday 13 Schwachstellen in Microsoft Office. Besonders kritisch sind CVE‑2025‑62554 und CVE‑2025‑62557 mit einem CVSS-Score von 8,4. Es handelt sich um Fehler der Klassen type confusion und use-after-free, die in ein Remote Code Execution (RCE)-Szenario münden können.
Brisant ist der Angriffsvektor: Laut Microsoft kann bereits die Preview Pane zur Ausnutzung genügen. Im Worst-Case-Szenario reicht die Zustellung einer präparierten E-Mail; ein aktives Öffnen oder das Anklicken eines Links ist nicht erforderlich. Damit werden insbesondere E-Mail-zentrierte Unternehmensumgebungen mit starker Office-Integration zum attraktiven Ziel.
Sicherheitslage 2025: Hohe Komplexität, hoher Patch-Druck
Im Verlauf des Jahres 2025 hat Microsoft rund 1200 Sicherheitslücken geschlossen – zum zweiten Mal in Folge übersteigt die Zahl der behobenen Schwachstellen damit die Marke von tausend. Ein wesentlicher Anteil entfällt traditionell auf Privilegienerweiterungen und Remote Code Execution. Dies bestätigt die Notwendigkeit eines mehrschichtigen Sicherheitskonzepts, das nicht allein auf Patches setzt, sondern auch Härtung, Monitoring und Rechtebeschränkung umfasst.
Organisationen sollten die Dezember-Updates priorisiert einspielen und dabei insbesondere Systeme mit CVE‑2025‑62221, Entwicklungsumgebungen mit GitHub Copilot, alle PowerShell-basierten Automatisierungsprozesse sowie Mail- und Office-Infrastrukturen in den Fokus nehmen. Bewährte Maßnahmen sind ein zentral gesteuertes Patch-Management, eine aktuelle Software-Inventarisierung, der Prinzip der geringsten Privilegien (Least Privilege), regelmäßige Konfigurations- und Skriptaudits sowie der Einsatz von EDR-Lösungen und Netzwerksegmentierung. Je konsequenter Unternehmen diese Bausteine kombinieren und Updates zeitnah ausrollen, desto schwerer haben es Angreifer, selbst bekannte und aktiv ausgenutzte 0‑Day-Schwachstellen erfolgreich in Angriffsketten zu integrieren.
