CVE-2025-12036 Schwachstelle: Eine neue kritische Chrome V8 JavaScript-Remote-Code-Exploitation

Analyse

CVE-2025-62215 ist eine kritische Race-Condition-Schwachstelle im Windows-Kernel, die von Microsoft im November 2025 Patch Tuesday behoben wurde. Der Fehler ermöglicht es einem Angreifer mit niedrig privilegiertem lokalen Zugriff, eine „Double-Free“-Bedingung im Kernel-Speicher auszunutzen und Privilegien auf SYSTEM-Ebene zu erhöhen. Da sie aktiv ausgenutzt wird und alle unterstützten Windows OS-Editionen (und ESU für Windows 10) betrifft, besteht für Organisationen ein wirkliches Risiko eines vollständigen Systemkompromisses.

Untersuchung

Um die Gefährdung durch CVE-2025-12036 zu untersuchen, sollten Sicherheitsteams damit beginnen, alle Endpunkte zu kartieren, die Chrome oder andere auf Chromium basierende Browser verwenden. Erstellen Sie eine Inventur der Browserversionen auf Windows, macOS und Linux und markieren Sie alle Systeme, die frühere Versionen als Chrome 141.0.7390.122/.123 ausführen, als potenziell gefährdet. Korrelation Sie als Nächstes ungepatchte Endpunkte mit Perioden hochriskanter Browseraktivitäten, wie dem Zugriff auf nicht vertrauenswürdige Websites, jüngste Phishing-Kampagnen oder vermutete Watering-Hole-Domains. Überprüfen Sie Telemetriedaten von EDR-Tools, Browsererweiterungsprotokollen sowie Proxy- oder Firewall-Protokollen auf Besuche verdächtiger oder neu registrierter Domains mit schwerem JavaScript, Browserabstürze oder anormales Sandbox-Verhalten, das auf Exploit-Versuche hinweisen könnte, und ungewöhnliche Prozessketten, die vom Browser aus gestartet wurden, einschließlich Kommandozeilen oder Skript-Engines. Für eine umfassendere Abdeckung verwenden Sie mit CVE-erweiterte Erkennungsinhalte und Aufklärungsabfragen in SIEM-, EDR- und Data Lake-Umgebungen und stimmen Sie die Ergebnisse auf MITRE ATT&CK-Techniken wie Drive-by Compromise und Exploitation for Client Execution ab.

Minderung

Da die Ausnutzung von CVE-2025-12036 trivial ist, sobald ein Benutzer auf einer bösartigen Seite landet, muss das Patchen als dringend erachtet werden. Alle Chrome- und Chromium-basierten Browser sollten auf mindestens Chrome 141.0.7390.122/.123 auf Windows und macOS und 141.0.7390.122 auf Linux aktualisiert werden, wobei automatische Updates überall dort aktiviert sein sollten, wo dies möglich ist. Sicherheitsteams sollten den Patch-Status überprüfen, indem sie Benutzer anleiten oder per MDM durchsetzen, Einstellungen → Über Chrome zu besuchen, damit der Browser die neuesten Fixes abrufen und anwenden kann. Gleichzeitig härten Sie die Browsernutzung, indem Sie das Prinzip der minimalen Rechte auf Endpunkten durchsetzen, URL-Filterung und sichere Web-Gateways verwenden, um bekannte bösartige oder risikoreiche Domains zu blockieren, und Schutzmaßnahmen wie Site-Isolation und strenge Erweiterungsrichtlinien aktivieren. Schließlich integrieren Sie CVE-2025-12036 in das Schwachstellenmanagement, damit neu bereitgestellte oder selten verwendete Systeme mit veralteten Chrome-Versionen schnell identifiziert und behoben werden.

Reaktion

Wenn Sie vermuten, dass CVE-2025-12036 in Ihrer Umgebung ausgenutzt wurde, beginnen Sie damit, betroffene Endpunkte von nicht vertrauenswürdigen Netzwerken zu isolieren, während sie für die forensische Analyse zugänglich bleiben. Bewahren Sie Beweise auf, einschließlich Speicherabbilder für den Browser und verwandte Prozesse, System- und Anwendungsprotokolle (insbesondere Chrome-Absturzberichte und Browserverlauf) sowie Netzwerkmitschnitte im vermuteten Ausnutzungszeitraum. Jagen Sie dann nach Post-Exploitation-Aktivitäten: ungewöhnliche Persistenzmechanismen wie neue geplante Aufgaben oder Dienste, verdächtige Binärdateien oder Skripte, die nach riskanten Browsersitzungen abgelegt wurden, und Anzeichen von Credential-Diebstahl wie Zugriffe auf Passwörter-Speicher, Token-Dumping oder anormale Authentifizierungsereignisse. Isolieren und beseitigen Sie durch Entfernen bösartiger Dateien und Persistenzartefakte und setzen Sie bei Bedarf riskante Endpunkte neu auf. Schließlich erholen und verbessern Sie sich, indem Sie Anmeldedaten rotieren, Erkennungsinhalte für Browser/V8 RCE-Muster aktualisieren und Benutzer sowie Administratoren über Risiken von Drive-by-Ausbeutung und sichereres Browsen im Zusammenhang mit CVE-2025-12036 briefen.