SchwachstellenHackerangriffeCyberkriminalität

Windows Task Host Lücke: CISA warnt vor aktiven Angriffen auf Behörden und Unternehmen

Windows Task Host Lücke: CISA warnt vor aktiven Angriffen auf Behörden und Unternehmen
Zusammenfassung

Die US-Cybersecurity and Infrastructure Security Agency (CISA) hat eine kritische Sicherheitslücke in Windows Task Host identifiziert, die bereits aktiv von Angreifern ausgenutzt wird. Die Schwachstelle CVE-2025-60710 betrifft Windows 11 und Windows Server 2025 und ermöglicht es Angreifern mit grundlegenden Benutzerrechten, sich erhöhte SYSTEM-Privilegien zu verschaffen und damit die vollständige Kontrolle über betroffene Systeme zu erlangen. Das Problem liegt in einer fehlerhaften Link-Auflösung vor dem Dateizugriff, wodurch lokale Angreifer über einfache Angriffsmethoden das gesamte Gerät kompromittieren können. Obwohl Microsoft die Schwachstelle bereits im November 2025 patcht, ordnete CISA US-Bundesbehörden an, ihre Systeme innerhalb von zwei Wochen zu sichern. Auch wenn die verbindliche Richtlinie nur für amerikanische Regierungsagenturen gilt, warnt CISA dringend alle Organisationen im privaten Sektor, die Patches schnellstmöglich einzuspielen. Für deutsche Unternehmen und Behörden bedeutet dies eine erhebliche Gefahr, insbesondere für jene mit Windows 11- oder Windows Server 2025-Infrastrukturen. Die aktive Ausnutzung dieses Schwachpunkts unterstreicht die Notwendigkeit sofortiger Sicherheitsmaßnahmen, um Cyberangriffe abzuwehren.

Die Schwachstelle CVE-2025-60710 betrifft einen grundlegenden Windows-Systemkomponenten: den Task Host, der als Container für DLL-basierte Prozesse fungiert und deren Hintergrundausführung sowie ordnungsgemäße Beendigung verwaltet. Das Problem liegt in einer fehlerhaften Link-Auflösung vor dem Dateizugriff – ein sogenannter “Link Following”-Fehler, der Angreifern mit lokalen Benutzerrechten die Privileg-Eskalation ermöglicht.

Die Attacken erfordern nur minimale Komplexität und können von lokal auf dem System agierenden Angreifern durchgeführt werden. Die Folge wäre fatal: SYSTEM-Privilegie, also vollständige Kontrolle über das betroffene Gerät. “Improper link resolution before file access in Host Process for Windows Tasks allows an authorized attacker to elevate privileges locally,” erklärt Microsoft das Sicherheitsproblem.

CISA reagierte schnell: Die Behörde nahm CVE-2025-60710 in ihren Katalog aktiv ausgebeuteter Schwachstellen auf und verpflichtete alle Bundesbehörden (Federal Civilian Executive Branch – FCEB) unter der verbindlichen Richtlinie BOD 22-01, ihre Systeme innerhalb von zwei Wochen zu sichern. Dies ist eine der strengeren CISA-Richtlinien für kritische, aktiv genutzten Lücken.

Auffällig ist, dass CISA bislang keine Details über die Angriffe veröffentlicht hat, und auch Microsoft hat seinen Security Advisory noch nicht mit Informationen über die aktive Ausnutzung aktualisiert. Dennoch ist klar: Die Bedrohung ist real und wird bereits operationalisiert.

CISA warnte ausdrücklich nicht nur US-Behörden, sondern auch private Organisationen weltweit, Patches umgehend einzuspielen. “This type of vulnerability is a frequent attack vector for malicious cyber actors and poses significant risks to the federal enterprise,” teilte die Behörde mit. Unternehmen und Behörden sollten entweder die Microsoft-Patches unverzüglich aufspielen oder – sofern keine Mitigationen verfügbar sind – das betroffene Produkt vom Netz nehmen.

Die Warnung kommt zu einem Zeitpunkt, da Microsoft regelmäßig größere Patch-Kampagnen durchführt. Im April 2026 beispielsweise wurden 167 Schwachstellen behoben, darunter zwei Zero-Days. CISA bleibt aktiv: In der gleichen Woche ordnete die Behörde auch Notfall-Patches für Fortinet EMS und Langflow-Schwachstellen an.

Ähnliche Artikel