Die mit CVE-2025-60710 bezeichnete Sicherheitslücke lässt sich von lokalen Angreifern mit einfachen Benutzerrechten über Angriffe mit geringer Komplexität ausnutzen. Gelingt dies, erlangen sie SYSTEM-Rechte und damit die vollständige Kontrolle über das kompromittierte Gerät.

Microsoft beschreibt die Ursache als fehlerhafte Auflösung von Verknüpfungen vor dem Dateizugriff im Host-Prozess für Windows-Tasks, die es einem berechtigten Angreifer erlaubt, seine Rechte lokal auszuweiten. Betroffen sind Windows 11 und Windows Server 2025; der Patch stammt vom November 2025.

CISA nahm die Schwachstelle am Montag in ihren Katalog aktiv ausgenutzter Schwachstellen auf und verpflichtete die zivilen Bundesbehörden (Federal Civilian Executive Branch, FCEB), ihre Systeme binnen zwei Wochen abzusichern. Grundlage ist die im November 2021 erlassene Binding Operational Directive (BOD) 22-01.

Zu den Angriffen selbst machte CISA keine Angaben, und Microsoft hat seine Sicherheitsmeldung noch nicht um eine Bestätigung der aktiven Ausnutzung ergänzt. Obwohl die BOD 22-01 nur für US-Bundesbehörden gilt, rief CISA alle Verteidiger – auch in der Privatwirtschaft – dazu auf, die Patches für CVE-2025-60710 so schnell wie möglich einzuspielen und ihre Netzwerke abzusichern.

„Diese Art von Schwachstelle ist ein häufiger Angriffsweg für böswillige Akteure und stellt ein erhebliches Risiko für die Bundesverwaltung dar“, warnte die Behörde. Sie empfahl, die Gegenmaßnahmen nach Herstelleranweisung umzusetzen, für Cloud-Dienste die einschlägigen Vorgaben der BOD 22-01 zu befolgen oder das Produkt nicht weiter zu verwenden, falls keine Gegenmaßnahmen verfügbar sind.

Vor einer Woche hatte CISA den Bundesbehörden vier Tage Zeit gegeben, ihre Netzwerke gegen eine als kritisch eingestufte Schwachstelle in Ivanti Endpoint Manager Mobile (EPMM) abzusichern, die seit Januar in Angriffen ausgenutzt wird. Zudem veröffentlichte Microsoft im Rahmen seines April-2026-Patchday Sicherheitsupdates für 167 Schwachstellen, darunter zwei Zero-Day-Lücken.