Microsoft: Kritische Sicherheitslücke in Windows Server unter Angriff
Eine schwerwiegende Sicherheitsschwachstelle im Windows Server Update Service ermöglicht Systemübernahmen ohne Authentifizierung. Microsoft veröffentlichte bereits Notfall-Patches gegen die aktive Ausnutzung.
Microsoft schlägt Alarm: Eine schwere Sicherheitslücke im Windows Server Update Service wird bereits aktiv von Angreifern ausgenutzt. Der Konzern aus Redmond fordert Administratoren zu sofortigen Schutzmaßnahmen auf.
Die als CVE-2025-59287 klassifizierte Schwachstelle erreicht einen Schweregrad von 9,8 von 10 Punkten und betrifft das zentrale Update-System für Windows-Server. Besonders brisant: Die US-Cybersicherheitsbehörde CISA warnt vor unbefugtem Zugriff mit höchsten Systemrechten – ohne jede Authentifizierung.
WSUS-Lücke ermöglicht komplette Systemübernahme
Das Problem steckt tief im Windows Server Update Service (WSUS), dem Herzstück der Update-Verteilung in Unternehmensnetzwerken. Angreifer können über eine speziell präparierte Anfrage beliebigen Code mit Systemrechten ausführen.
Betroffen sind alle Windows-Server-Versionen von 2012 bis 2025. Microsoft musste bereits eingestehen, dass der reguläre Oktober-Patch das Problem nicht vollständig löste. Am 23. Oktober folgte daher ein Notfall-Update außer der Reihe.
Was die Lage verschärft: Die erste Korrektur versagte, was die Komplexität der Schwachstelle und das hohe Risiko für ungeschützte Systeme unterstreicht.
Angriffe beginnen wenige Stunden nach Patch-Veröffentlichung
Cybersicherheitsexperten beobachteten bereits binnen Stunden erste Attacken. Das Sicherheitsunternehmen Huntress registrierte Angriffe auf öffentlich zugängliche WSUS-Server über die Standard-Ports 8530 und 8531.
Die niederländische Firma Eye Security meldete Exploit-Versuche kurz nach Mitternacht am 24. Oktober. CISA reagierte prompt und nahm die Lücke in ihren Katalog bekannter, ausgenutzer Schwachstellen auf – mit einer Frist bis 14. November für Bundesbehörden.
Sicherheitsforscher sprechen von einer “Point-and-Shoot”-Attacke: trivial ausführbar für praktisch jeden Angreifer.
Perfekte Tarnung: Malware als Windows-Update
Die strategische Bedeutung von WSUS macht diese Lücke besonders gefährlich. Kompromittierte WSUS-Server verwandeln sich in trojanische Pferde der Update-Verteilung.
“Durch die Übernahme dieses einen Servers kann ein Angreifer das gesamte Patch-System kapern”, warnt Justin Moore von Palo Alto Networks Unit 42. Cyberkriminelle könnten Malware oder Ransomware als legitime Microsoft-Updates an alle Arbeitsplätze und Server verteilen.
Das Ergebnis: eine katastrophale interne Supply-Chain-Attacke mit höchsten Systemrechten – ganz ohne Nutzerinteraktion.
Doppelter Patch-Stress für IT-Administratoren
Der Fall zeigt einen beunruhigenden Trend: Angreifer nehmen verstärkt grundlegende IT-Infrastruktur ins Visier. Obwohl nicht standardmäßig aktiviert, bildet WSUS das Rückgrat des Patch-Managements in zahllosen Unternehmen.
Verschärfend wirkt die unsachgemäße Internet-Exposition vieler WSUS-Instanzen. Der gescheiterte erste Patch verlängerte zudem das kritische Zeitfenster zwischen Schwachstellen-Bekanntgabe und erfolgreicher Behebung.
Sofortmaßnahmen und Notfallpläne
Microsoft und CISA geben klare Handlungsanweisungen: Das Notfall-Update vom 23. Oktober muss umgehend installiert und die Server neugestartet werden.
Für Unternehmen ohne Sofort-Patch bietet Microsoft Übergangslösungen: Deaktivierung der WSUS-Rolle oder Blockierung des eingehenden Traffics auf den Ports 8530 und 8531 über die Host-Firewall.
Anzeige: Apropos mehrschichtige Sicherheitsstrategien: Der schwächste Punkt sind oft mobile Endgeräte. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen, mit denen Sie Android-Smartphones ohne teure Zusatz-Apps absichern – inklusive Schritt-für-Schritt-Anleitungen für WhatsApp, Online-Banking und Co. Jetzt kostenloses Android-Sicherheitspaket herunterladen
Die Experten mahnen zur Wachsamkeit auch bei Client-Software, insbesondere Webbrowsern. Jüngste Patches für die Chromium-Engine in Microsoft Edge schlossen bereits weitere Hochrisiko-Lücken – ein Reminder für mehrschichtige Sicherheitsstrategien.
