Angriffe gegen Microsoft WSUS Installationen - Update verfügbar

24. Oktober 2025

Beschreibung

Microsoft hat eine kritische Sicherheitslücke in Windows Server Update Service (WSUS) veröffentlicht, die es unauthentifizierten Angreifern ermöglicht, aus der Ferne beliebigen Code auf betroffenen Servern auszuführen. Die Schwachstelle entsteht durch unsichere Deserialisierung von nicht vertrauenswürdigen Daten in einem veralteten Serialisierungsmechanismus. Microsoft hatte hierzu bereits am 14. Oktober einen ersten Patch veröffentlicht. Dieser erwies sich allerdings als unzureichend und wurde nun außerplanmäßig nachgebessert. Ein bereits öffentlich verfügbarer Proof-of-Concept (PoC) erhöht die Warscheinlichkeit einer Ausnutzung. Berichten nach werden bereits Angriffe verzeichnet.

CVE-Nummer(n): CVE-2025-59287

CVSS v3.1 Score: 9.8 (Kritisch)

Auswirkungen

Ein nicht authentifizierter Angreifer kann über das Netzwerk speziell präparierte Ereignisse an den WSUS-Server senden, die eine unsichere Objekt-Deserialisierung auslösen. Dies führt zur Ausführung von beliebigem Code mit System-Rechten auf dem betroffenen Server. Da WSUS-Server zentrale Komponenten in der Patch-Verwaltung von Windows-Umgebungen darstellen, kann eine erfolgreiche Kompromittierung weitreichende Auswirkungen auf die gesamte IT-Infrastruktur haben.

Betroffene Systeme

Alle unterstützten Windows Server Versionen mit aktivierter WSUS Server-Rolle:
• Windows Server 2012 und 2012 R2
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022
• Windows Server 2022, 23H2 Edition
• Windows Server 2025

Windows Server ohne aktivierte WSUS-Rolle sind nicht betroffen. Die WSUS-Rolle ist standardmäßig nicht aktiviert.

Abhilfe

Microsoft hat am 23. Oktober 2025 außerplanmäßige Sicherheitsupdates für alle betroffenen Windows Server Versionen veröffentlicht.Die Updates sind über Windows Update, Microsoft Update Catalog und WSUS verfügbar. Nach Installation ist ein Neustart des Systems erforderlich.

Temporäre Workarounds bis zur Installation des Updates:
1. Deaktivierung der WSUS Server-Rolle (Achtung: Clients erhalten dann keine Updates mehr vom Server)
2. Blockierung des eingehenden Datenverkehrs auf den Ports 8530 und 8531 in der lokalen Host-Firewall

Hinweis

Die Schwachstelle wird bereits aktiv ausgenutzt. Aufgrund der Kritikalität und der einfachen Ausnutzbarkeit (kein Benutzer-Interaktion oder Authentifizierung erforderlich, Proof-of-Conecpt (PoC) bereits öffentlich verfügbar) empfiehlt CERT.at die sofortige Installation der bereitgestellten Sicherheitsupdates. Organisationen sollten ihre WSUS-Server priorisiert patchen und bis dahin die empfohlenen Workarounds implementieren.

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Microsoft Security Response Center - CVE-2025-59287 (Englisch)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287

Microsoft Out-of-Band Security Update Announcement (Englisch)
https://learn.microsoft.com/en-us/windows/release-health/windows-message-center#3668

Eyesecurity LinkedIn Artikel der aktive Ausnutzung beschreibt (Englisch)
https://www.linkedin.com/posts/eyesecurity_active-exploitation-of-𝗪𝗦𝗨𝗦-cve-2025-activity-7387398633383415808-tqLD/