Microsoft: Kritische Schwachstelle bei Windows Server Update Services
Maximales Risiko: Bewertung 9,8 von 10 Punkten
Eine kritische Sicherheitslücke in Microsofts Windows Server Update Services (WSUS) wird derzeit massiv ausgenutzt – und könnte ganze Unternehmensnetzwerke lahmlegen. Die als CVE-2025-59287 eingestufte Schwachstelle ermöglicht Angreifern ohne Authentifizierung die vollständige Kontrolle über WSUS-Server. Das Erschreckende: Cyberkriminelle verschaffen sich so Zugang zum Herzstück der IT-Infrastruktur und können schädliche Updates als vermeintlich legitime Microsoft-Patches tarnen.
Microsoft reagierte bereits mit einem außerplanmäßigen Sicherheitsupdate, nachdem der erste Patch vom 14. Oktober 2025 die Lücke nicht vollständig geschlossen hatte. Zu spät: Sicherheitsforscher beobachten bereits seit Stunden nach Veröffentlichung des Exploits gezielte Angriffe auf Unternehmen verschiedener Branchen.
Die Schwachstelle erhält eine kritische Bewertung von 9,8 von 10 Punkten – und das zu Recht. Angreifer können ohne Anmeldedaten oder Benutzerinteraktion beliebigen Code mit höchsten Systemberechttigungen auf einem verwundbaren WSUS-Server ausführen.
Da WSUS das zentrale Nervensystem für Microsoft-Updates in Organisationen darstellt, öffnet dessen Kompromittierung Tür und Tor für verheerende interne Supply-Chain-Attacken. Cyberkriminelle können schädliche Updates oder Malware über das gesamte Windows-Netzwerk verteilen – getarnt als legitime Patches.
Verpfuschter Patch und der Wettlauf gegen die Zeit
Die Ereignisse überschlugen sich in den vergangenen Wochen. Microsoft veröffentlichte am 14. Oktober 2025 zunächst einen regulären Patch für CVE-2025-59287. Doch schnell stellte sich heraus: Das Update schloss die Lücke nicht vollständig.
Ein Notfall-Update folgte am 23./24. Oktober – doch da war es bereits zu spät. Mit der öffentlichen Bekanntgabe der Schwachstelle und der Freigabe eines Proof-of-Concept-Exploits öffnete sich ein gefährliches Zeitfenster für Angreifer.
Sicherheitsunternehmen wie Palo Alto Networks’ Unit 42, Huntress und Sophos berichteten binnen Stunden von aktiven Scans und Exploits der Schwachstelle. Die Angriffe treffen wahllos internetfähige WSUS-Server in Technologie-, Gesundheits-, Fertigungs- und Bildungseinrichtungen.
Die Attacke im Detail: Spionage und Datendiebstahl
Die Angriffsmethode ist perfide durchdacht. Cyberkriminelle visieren die Standard-Ports 8530 und 8531 von WSUS an und nutzen eine Schwachstelle bei der Deserialisierung nicht vertrauenswürdiger Daten aus.
Nach dem ersten Zugriff führen die Angreifer schädliche PowerShell-Befehle aus. Ihr Ziel: umfassende Aufklärung und Datensammlung. Die bösartigen Skripte sammeln Listen von Active-Directory-Benutzern, detaillierte Netzwerkkonfigurationen und externe IP-Adressen verwundbarer Hosts. Diese Daten wandern dann an Server der Cyberkriminellen.
Googles Threat Intelligence Group verfolgt bereits einen neuen Akteur, der diese Schwachstelle ausnutzt – Codename: UNC6512.
Warum WSUS ein besonders lohnendes Ziel ist
“Durch die Kompromittierung dieses einen Servers kann ein Angreifer das gesamte Patch-Verteilungssystem übernehmen”, erklärt Justin Moore, Senior Manager für Threat Intelligence Research bei PAN Unit 42. Das ermöglicht verheerende interne Supply-Chain-Angriffe, bei denen Malware unter dem Deckmantel legitimer Microsoft-Updates an alle Arbeitsplätze gesendet wird.
Besonders brisant: Die Schwachstelle ist “wurmartig” zwischen betroffenen WSUS-Servern. Ein Exploit könnte sich ohne menschliches Zutun über ein ganzes Netzwerk ausbreiten.
Die US-Behörde CISA stufte CVE-2025-59287 bereits am 24. Oktober als bekannte ausgenutzte Schwachstelle ein. Bundesbehörden müssen bis zum 14. November 2025 patchen – eine Frist, die Sicherheitsexperten auch Privatunternehmen dringend empfehlen.
Sofortiges Handeln erforderlich
Die Lösung ist klar: Alle Unternehmen müssen sofort das Microsoft-Notfall-Update vom 23./24. Oktober installieren. Ein Neustart ist zwingend erforderlich.
Wer nicht umgehend patchen kann, sollte nach CISA-Empfehlung die WSUS-Server-Rolle deaktivieren oder den gesamten eingehenden Datenverkehr zu den Ports 8530 und 8531 blockieren.
Doch Vorsicht: Die bereits gesammelten Daten aus ersten Einbrüchen könnten in den kommenden Wochen für ausgefeiltere Folgeattacken genutzt werden – einschließlich Ransomware oder Cyberspionage. Unternehmen sollten daher nicht nur patchen, sondern auch aktiv nach Kompromittierungszeichen suchen.
