Microsoft schlägt Alarm: Eine kritische Sicherheitslücke in Windows Server Update Services wird aktiv ausgenutzt. System-Administratoren müssen sofort handeln.

Die Schwachstelle CVE-2025-59287 ermöglicht es Angreifern, ohne Authentifizierung Code mit höchsten Systemrechten auf WSUS-Servern auszuführen. Das Notfall-Update vom 23. Oktober schließt die Lücke, die einen Schweregrad von 9,8 von 10 Punkten erhielt.

Besonders brisant: Die ursprüngliche Korrektur vom 14. Oktober war unvollständig. Sicherheitsforscher und Cyberkriminelle analysierten den mangelhaften Patch binnen Stunden – und entwickelten funktionierende Angriffscodes.

Wettlauf gegen die Zeit

Die US-Cybersicherheitsbehörde CISA reagierte prompt und fügte die Schwachstelle bereits einen Tag nach dem Notfall-Patch ihrer Liste aktiv ausgenutzer Schwachstellen hinzu. Für Bundesbehörden gilt eine Frist bis zum 14. November.

Der Grund für die Eile: WSUS-Server sind besonders lukrative Ziele für Angreifer. Sie verwalten Updates für ganze Unternehmensnetzwerke und können als Sprungbrett für Ransomware-Attacken oder die Verteilung gefälschter "Updates" missbraucht werden.

Googles Threat Intelligence Group identifizierte bereits eine neue Hackergruppe namens UNC6512, die die Lücke für Datendiebstahl und Spionage ausnutzt.

Oktober: Rekordmonat für Cyberattacken

Die WSUS-Schwachstelle war nur die Spitze des Eisbergs. Microsofts Oktober-Patchday 2025 war einer der umfangreichsten überhaupt: 193 Sicherheitslücken wurden geschlossen, darunter mindestens zwei weitere Zero-Day-Exploits.

CVE-2025-59230 betrifft den Windows Remote Access Connection Manager und ermöglicht Angreifern die Ausweitung ihrer Systemrechte. Bei CVE-2025-24990 griff Microsoft zu drastischen Maßnahmen: Der anfällige Agere-Modem-Treiber wurde komplett aus Windows entfernt.

Sofortige Maßnahmen erforderlich

Was bedeutet das für deutsche Unternehmen? Höchste Alarmstufe. Tausende WSUS-Instanzen sind über das Internet erreichbar und damit verwundbar.

Microsoft und CISA empfehlen:
- Sofortige Installation des Notfall-Updates
- Obligatorischer Neustart nach der Installation
- Bei verzögerter Aktualisierung: WSUS-Server-Rolle deaktivieren
- Firewall-Blockade für Ports 8530 und 8531

Neue Realität: Stunden statt Tage

Die Zeitspanne zwischen Patch-Veröffentlichung und aktiver Ausnutzung schrumpft dramatisch. Während Administratoren früher Tage oder Wochen für Updates hatten, bleiben heute oft nur Stunden.

Sicherheitsexperten warnen vor einer neuen Ära der Cyberbedrohungen: Angreifer werden immer geschickter darin, Patches zu analysieren und Schwachstellen rückzuentwickeln. Unternehmen müssen ihre Patch-Management-Strategien dringend überdenken.

Für deutsche Firmen gilt: Wer seine WSUS-Server nicht sofort aktualisiert, riskiert nicht nur Datendiebstahl, sondern die Kompromittierung des gesamten Netzwerks. Die Zeit des Abwartens ist vorbei.