Microsoft reagiert auf aktív ausgenutzte Sicherheitslücke mit außerplanmäßigem Update. Die Schwachstelle ermöglicht Angreifern vollständige Kontrolle über Windows-Server.

Der Software-Riese aus Redmond hat am gestrigen Donnerstag ein Notfall-Update veröffentlicht, um eine kritische Sicherheitslücke in Windows Server Update Services (WSUS) zu schließen. Die als CVE-2025-59287 eingestufte Schwachstelle wird bereits aktiv von Cyberkriminellen ausgenutzt und erhält die Höchstbewertung von 9,8 von 10 Punkten im CVSS-System.

Besonders brisant: Angreifer benötigen weder Authentifizierung noch Benutzerinteraktion, um die Lücke auszunutzen. Ein speziell präparierter Netzwerkangriff reicht aus, um vollständige Systemrechte auf betroffenen Servern zu erlangen. Da WSUS in Unternehmen zentral das Patch-Management übernimmt, könnten Cyberkriminelle von dort aus schädliche Updates an alle angeschlossenen Computer verteilen.

Exploit-Code öffentlich verfügbar

Die Dringlichkeit des Updates wird durch öffentlich zugänglichen Proof-of-Concept-Code verstärkt, der die Angriffsschwelle drastisch senkt. Microsofts Reaktion außerhalb des regulären "Patch Tuesday"-Zyklus verdeutlicht die unmittelbare Bedrohung für Unternehmen weltweit.

Die Schwachstelle basiert auf unsicherer Deserialisierung von Daten und gilt als "wurmartig" – Exploits könnten sich theoretisch selbstständig zwischen verwundbaren WSUS-Servern ausbreiten. Betroffen sind Windows Server 2025, 2022, 2019, 2016 sowie ältere Versionen bis zurück zu Server 2012.

Microsoft betont jedoch, dass nur Server mit aktivierter WSUS-Rolle gefährdet sind. Diese Funktion ist standardmäßig deaktiviert, was die Angriffsfläche begrenzt.

Fehlgeschlagener erster Patch-Versuch

Der Weg zur Lösung war holprig: Microsoft hatte bereits am 14. Oktober 2025 im regulären Patch Tuesday eine Korrektur für CVE-2025-59287 veröffentlicht. Diese erwies sich jedoch als unvollständig. Nachdem Sicherheitsforscher detaillierte Analysen und funktionsfähige Exploit-Codes publizierten, sah sich das Unternehmen zu dem umfassenderen Notfall-Update am 23. Oktober gedrängt.

Dustin Childs von Trend Micros Zero Day Initiative warnt: "WSUS-Server sind ein attraktives Ziel für Angreifer." Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) mahnt zur Eile. Sollten Cyberkriminelle bereits Zugang zu internen Netzwerken haben, könnten sie über die WSUS-Lücke weitere kritische Dienste kompromittieren.

Rekordmonat für Sicherheits-Patches

Das Notfall-Update erscheint inmitten eines außergewöhnlich patch-intensiven Monats. Der Oktober 2025 Patch Tuesday war einer der umfangreichsten überhaupt: Microsoft schloss 177 neue Sicherheitslücken in seinen Produkten, darunter mehrere Zero-Day-Schwachstellen.

Zu den weiteren kritischen Lücken zählten Privilege-Escalation-Exploits im Windows Agere Modem Driver (CVE-2025-24990) und im Windows Remote Access Connection Manager (CVE-2025-59230). Diese Flut an Updates stellt IT-Teams vor erhebliche Herausforderungen bei der Priorisierung und Verteilung.

Die US-Cybersicherheitsbehörde CISA hat mehrere der aktiv ausgenutzten Schwachstellen in ihren KEV-Katalog aufgenommen und Bundesbehörden strikte Patch-Fristen auferlegt.

Sofortige Maßnahmen erforderlich

Microsoft stellt die Notfall-Updates für alle betroffenen Windows Server-Versionen über Windows Update und den Microsoft Update Catalog bereit. Unternehmen sollten das Update unverzüglich installieren – auch wenn bereits die Oktober-Patches eingespielt wurden, da das neue Update diese ersetzt. Ein Neustart ist zwingend erforderlich.

Für Administratoren, die nicht sofort patchen können, schlägt Microsoft temporäre Notmaßnahmen vor: die komplette Deaktivierung der WSUS-Server-Rolle oder das Blockieren der Ports 8530 und 8531 in der Host-Firewall. Diese Maßnahmen legen jedoch den WSUS-Dienst lahm und verhindern jegliche Update-Verteilung – ein Sicherheitsrisiko eigener Art.

Die Botschaft ist eindeutig: Alle Organisationen mit WSUS-Servern sollten umgehend und umfassend patchen. Kompromisse gibt es bei dieser kritischen Schwachstelle nicht.