Thought Leadership
Für eine schwerwiegende Sicherheitslücke im Windows Server Update Service existiert bereits ein öffentlicher Exploit. Microsoft hat außerplanmäßige Patches bereitgestellt und rät zu sofortiger Installation.
Microsoft hat kurzfristig Sicherheitsupdates veröffentlicht, um eine kritische Schwachstelle in seinen Server-Betriebssystemen zu schließen. Betroffen ist der Windows Server Update Service (WSUS), über den Administratoren normalerweise Updates zentral im Netzwerk verteilen. Die Lücke trägt die Kennung CVE-2025-59287 und wurde bereits am regulären Patch-Dienstag geschlossen. Die außerplanmäßige Reaktion erfolgt nun, weil inzwischen Exploit-Code öffentlich verfügbar ist.
Angriff ohne Authentifizierung möglich
Die Schwachstelle erlaubt Angreifern die Ausführung beliebigen Codes mit höchsten Systemrechten. Problematisch ist vor allem, dass dafür weder besondere Zugriffsrechte noch eine Nutzerinteraktion erforderlich sind. Ein Angriff lässt sich aus der Ferne durchführen und weist geringe Komplexität auf. Microsoft warnt, dass sich die Lücke möglicherweise wurmartig zwischen WSUS-Servern ausbreiten könnte.
Konkret können Angreifer speziell gestaltete Events versenden, die eine unsichere Objekt-Deserialisierung in einem veralteten Mechanismus auslösen. Dies führt zur Remotecodeausführung mit SYSTEM-Berechtigung.
Allerdings sind nur Server verwundbar, auf denen die WSUS-Serverrolle tatsächlich aktiviert wurde – dies ist standardmäßig nicht der Fall. Microsoft weist darauf hin, dass Server angreifbar werden, wenn die Rolle vor dem Einspielen des Patches aktiviert wird.
Updates für alle Server-Versionen verfügbar
Sicherheitsupdates stehen für sämtliche betroffenen Windows-Server-Versionen bereit, von Windows Server 2012 bis Windows Server 2025. Die Knowledge-Base-Artikel tragen die Nummern KB5070881 bis KB5070887. Microsoft empfiehlt die unverzügliche Installation, insbesondere angesichts des verfügbaren Exploits.
Die Updates sind kumulativ und ersetzen alle vorherigen Aktualisierungen für die jeweiligen Versionen. Wer das Oktober-Sicherheitsupdate noch nicht installiert hat, sollte stattdessen direkt das aktuelle OOB-Update einspielen. Nach der Installation ist ein Neustart erforderlich.
Übergangsmaßnahmen verfügbar
Für Systeme, die nicht sofort gepatcht werden können, nennt Microsoft zwei Workarounds: Entweder die WSUS-Serverrolle komplett deaktivieren oder den eingehenden Datenverkehr auf den Ports 8530 und 8531 über die Firewall blockieren. Beide Maßnahmen machen WSUS allerdings funktionsunfähig, sodass Client-Systeme keine Updates mehr vom lokalen Server beziehen können.
Als Nebeneffekt der Patches entfallen künftig detaillierte Fehleranzeigen bei Synchronisierungsproblemen. Microsoft hat diese Funktion vorübergehend entfernt, um die Sicherheitslücke zu beseitigen.
