Kurz nach CVE-2025-66516, der schwerwiegenden Apache Tika XXE-Schwachstelle, sind in Windows-Produkten einige weitere Sicherheitslücken aufgetreten. In seinem Sicherheitsupdate vom Dezember 2025 adressierte Microsoft 57 Schwachstellen, darunter zwei Zero-Days, CVE-2025-62221 und CVE-2025-54100.

Die Technologien von Microsoft untermauern einen großen Teil der globalen digitalen Infrastruktur, was die Sicherheit seines Ökosystems besonders wichtig macht. Der BeyondTrust Microsoft Schwachstellenbericht 2025 vermerkt, dass 2024 mit 1.360 offengelegten Microsoft-Schwachstellen einen neuen Rekord setzte—ein Anstieg von 11 % gegenüber dem Vorjahr—wobei Elevation of Privilege (EoP) und RCE Probleme als die schwerwiegendsten herausstechen. Dieser Trend setzte sich auch 2025 fort, wobei Tenable feststellte, dass Microsoft Patches für 1.129 CVEs im Jahr 2025lieferte—das zweite Jahr in Folge, in dem das Unternehmen die Tausend-Schwachstellen-Schwelle überschritt. Im Dezember-Update 2025 machte EoP-Schwachstellen die Hälfte aller adressierten Schwachstellen aus, gefolgt von RCE-Schwachstellen mit etwa einem Drittel (33,9 %). Die oben genannten Zero-Days, die im Dezember 2025 Patch Tuesday behoben wurden, passen auch in diese Bedrohungskategorien. 

Registrieren Sie sich für die SOC Prime Plattform, die erste industrieweite AI-Native Detection Intelligence Plattform für Echtzeit-Verteidigung, um eine Sammlung von über 600.000 Erkennungsregeln zu entdecken, die die neuesten Bedrohungen adressieren und Ihr Team mit KI und erstklassiger Cybersicherheitsexpertise ausstatten. Klicken Sie auf Erkennungen erkunden um das umfangreiche Regelwerk für die Erkennung von Schwachstellenausnutzungen zu erreichen, vorgefiltert mit dem benutzerdefinierten „CVE“-Tag.

Erkennungen erkunden

Alle Erkennungsregeln können über mehrere SIEM-, EDR- und Data-Lake-Plattformen hinweg verwendet werden und sind mit dem neuesten MITRE ATT&CK® Framework v18.1 abgestimmt. Entdecken Sie KI-native Bedrohungsinformationen, einschließlich CTI Referenzen, Angriffszeiträumen, Prüfkonfigurationen, Tria­ge-Empfehlungen und mehr Bedrohungskontext, mit dem jede Regel angereichert ist.

Sicherheitsteams können auch den Aufwand bei der Erkennungsentwicklung erheblich reduzieren mit Uncoder AI , indem sie Erkennungslogik über mehrere Sprachformate hinweg sofort umwandeln, Erkennungen aus Rohbedrohungsberichten erstellen, Angriffsraster visualisieren, die Anreicherung und Feinabstimmung beschleunigen und gleichzeitig Validierungs-Workflows vereinfachen. 

Analyse von CVE-2025-62221 und CVE-2025-54100

Microsoft schließt das Jahr ab, indem es Patches für 57 Sicherheitslücken in Windows-Produkten veröffentlicht, die in seinem Sicherheitsupdate vom Dezember 2025 enthalten sind, darunter zwei Zero-Days mit einem CVSS-Wert von 7.8, CVE-2025-62221 und CVE-2025-54100.

Die aktiv ausgenutzte Schwachstelle, CVE-2025-62221, ist eine Use-After-Free-Elevation-of-Privilege-Schwachstelle im Windows Cloud Files Mini Filter Driver, die einem authentifizierten lokalen Angreifer ermöglicht, Berechtigungen auf SYSTEMzu eskalieren. Durch die Ausnutzung dieser Schwachstelle können Angreifer die vollständige Kontrolle über betroffene Windows-Systeme erlangen, ohne dass eine Benutzerinteraktion erforderlich ist, obwohl lokaler Zugriff notwendig ist.

Der Anbieter hat 2025-62221 als aktive Ausnutzung in freier Wildbahn bestätigt; jedoch bleiben spezifische Angriffsmethoden unbekannt. Die Schwachstelle betrifft Systeme mit dem Cloud Files Minifilter, der auch vorhanden ist, wenn Apps wie OneDrive, Google Drive oder iCloud nicht installiert sind. 

Aufgrund der steigenden Ausnutzungsrisiken hat CISA kürzlich CVE-2025-62221 in seinen KEV-Katalog aufgenommen und verlangt von Bundesbehörden der Zivilen Exekutive, das Update bis zum 30. Dezember 2025 anzuwenden. 

Eine weitere Zero-Day-Schwachstelle, CVE-2025-54100, ist ein RCE-Fehler in Windows PowerShell, der nicht authentifizierten Angreifern erlaubt, beliebigen Code auszuführen, wenn sie einen Benutzer dazu bringen können, einen manipulierten PowerShell-Befehl auszuführen, zum Beispiel über Invoke-WebRequest.

Das Risiko wird deutlicher, wenn es mit gängigen Social-Engineering-Taktiken kombiniert wird: Angreifer könnten einen Benutzer oder Administrator dazu verleiten, ein PowerShell-Snippet auszuführen, das bösartige Inhalte von einem Remote-Server abruft, einen Parsing-Fehler auslöst und damit die Ausführung von Code oder die Bereitstellung von Implantaten ermöglicht. Obwohl das Problem öffentlich bekannt ist, berichtet Microsoft von keiner aktiven Ausnutzung und stuft die Wahrscheinlichkeit einer Ausnutzung derzeit als gering ein. Die Schwachstelle erfordert keine Berechtigungen, beruht jedoch auf Benutzerinteraktion, was Social Engineering zum wahrscheinlichsten Angriffspfad macht.

Als potenzielle  2025-62221 und CVE-2025-54100 Minderungsmaßnahmen sollten Organisationen, die auf die entsprechenden Windows-Produkte angewiesen sind, die Patches sofort anwenden. Mit SOC Prime’s AI-Native Detection Intelligence Platformkönnen SOC-Teams Erkennungsinhalte aus dem größten und aktuellsten Repository beziehen, die gesamte Pipeline von der Erkennung bis zur Simulation nahtlos in ihre Sicherheitsprozesse integrieren, Workflows in ihrer natürlichen Sprache orchestrieren und mühelos durch die sich ständig ändernde Bedrohungslandschaft navigieren, während sie die Abwehr auf breiter Ebene stärken.