Kritische Sicherheitslücke in Windows Server Update Services : Gefährliche Angriffswelle auf Microsofts Patch-System – Notfall-Update dringend empfohlen.

Die Sicherheitslücke mit der Kennung CVE-2025-59287 betrifft die Komponente Windows Server Update Services (WSUS). Sie wird mit einem Schweregrad von 9,8 von 10 bewertet. Das Problem: WSUS verarbeitet Cookies auf unsichere Weise. Dabei werden verschlüsselte Informationen entschlüsselt und anschließend ohne ausreichende Prüfung in Programmobjekte umgewandelt – ein Vorgang, der als Deserialisierung bezeichnet wird. Diese Verarbeitung erlaubt es Angreifern, manipulierte Daten einzuschleusen, die beim Entschlüsseln und Ausführen beliebigen Code starten können – und zwar mit Systemrechten.

Der Sicherheitsforscher Batuhan Ererklärt: „Das Problem entsteht durch die unsichere Deserialisierung von Autorisierungs-Cookies. Angreifer können dadurch Code mit Systemrechten ausführen – also mit vollständiger Kontrolle über den Server.“

Wie der Angriff funktioniert

In der Praxis genügt es, wenn ein WSUS-Server über das Internet erreichbar ist. Angreifer können dann gezielt präparierte Anfragen an die Standardports 8530 oder 8531 senden. Sicherheitsforscher beobachteten, dass die manipulierten Anfragen dazu führen, dass der WSUS-Dienst selbst Programme wie cmd.exe oder PowerShell startet. Diese werden genutzt, um Base64-kodierte Schadprogramme nachzuladen und auszuführen.

Laut der Sicherheitsfirma Eye Security wurde der erste Angriff am 24. Oktober 2025 um 06:55 Uhr UTC festgestellt. Dabei nutzten die Täter einen Trick: Sie versteckten Befehle in einem unscheinbaren HTTP-Header namens „aaaa“, damit diese nicht in Logdateien auftauchen.

Warum WSUS ein ideales Ziel ist

Ein WSUS-Server dient als zentrale Update-Verteilstelle in Unternehmen – er verteilt Patches an alle internen Computer. Wird dieser Server kompromittiert, kann ein Angreifer Schadsoftware als vermeintliche Microsoft-Updates an sämtliche Systeme im Netzwerk ausliefern. Justin Moore von Palo Alto Networks warnt: „Ein kompromittierter WSUS-Server verwandelt sich in eine interne Lieferkette für Schadsoftware. Angreifer können so die gesamte Patch-Verteilung übernehmen und jedes Gerät im Unternehmen infizieren.“

Viele Unternehmen halten WSUS für harmlos und lassen den Dienst unbeaufsichtigt laufen. Doch genau das macht ihn zu einem attraktiven Ziel: Microsoft entwickelt WSUS nicht mehr weiter, und viele Administratoren betreiben die Systeme nach dem Prinzip „einmal eingerichtet – dann vergessen“.

Was jetzt zu tun ist

Microsoft hat ein außerplanmäßiges Sicherheitsupdate veröffentlicht, das das Problem vollständig behebt. Betroffen sind fast alle unterstützten Versionen von Windows Server, darunter 2012, 2016, 2019, 2022 und 2025.

Nach der Installation muss der Server neu gestartet werden, damit der Schutz aktiv wird. Wenn ein sofortiges Patchen nicht möglich ist, sollten diese temporären Schutzmaßnahmen umgesetzt werden:

• Deaktivieren der WSUS-Serverrolle, falls sie aktiv ist.
• Blockieren des eingehenden Verkehrs auf Ports 8530 und 8531 in der Firewall.

Microsoft warnt ausdrücklich: „Diese Workarounds dürfen erst rückgängig gemacht werden, nachdem das Sicherheitsupdate installiert wurde.“

Aktive Angriffe weltweit

Mehrere Sicherheitsunternehmen melden, dass die Schwachstelle bereits aktiv ausgenutzt wird.

• Huntressbeobachtete erste Attacken ab dem 23. Oktober 2025.
• Eye Security bestätigte erfolgreiche Angriffe auf exponierte Server.
• Unit 42 von Palo Alto Networks verzeichnet derzeit verstärkte Scan-Aktivitäten.

Der niederländische Nationale Cyber-Sicherheitsrat (NCSC)meldete ebenfalls bestätigte Missbrauchsfälle. Insgesamt sollen weltweit über 8000 WSUS-Server öffentlich erreichbar sein – darunter auch besonders sensible Systeme.

Warum schnelles Handeln entscheidend ist

Microsoft stuft die Wahrscheinlichkeit einer weiteren Ausnutzung als „sehr hoch“ ein. Die amerikanische Behörde für Cybersicherheit und Infrastrukturschutz (CISA) hat die Lücke in ihren Katalog bekannter aktiv ausgenutzter Schwachstellen (KEV) aufgenommen. US-Bundesbehörden müssen sie bis spätestens 14. November 2025 schließen – Unternehmen sollten nicht länger warten.

Fazit

Diese Sicherheitslücke zeigt erneut, wie gefährlich unbeaufsichtigte, intern gedachte Systeme werden können, wenn sie versehentlich im Internet erreichbar sind. Wer WSUS betreibt, muss jetzt handeln:

• Update installieren
• Server neu starten
• Internetzugriff vollständig unterbinden

Wie Sicherheitsforscher Benjamin Harris von watchTowr betont: „Wenn ein ungeschützter WSUS-Server online ist, ist er wahrscheinlich schon kompromittiert. Es gibt im Jahr 2025 keinen legitimen Grund, WSUS über das Internet erreichbar zu machen.“ Schnelles Handeln ist jetzt der einzige Weg, um eine gefährliche interne Angriffskette zu stoppen – bevor der eigene Update-Server zur Waffe wird.