Microsoft: Kritische Windows-Sicherheitslücke wird aktiv ausgenutzt

Microsoft schließt kritische Sicherheitslücke in Windows Server Update Services, die bereits aktiv ausgenutzt wird. Die Schwachstelle ermöglicht unautorisierte Codeausführung und betrifft mehrere Server-Versionen.

Microsoft hat einen Notfall-Sicherheitsupdate veröffentlicht, um eine schwerwiegende Schwachstelle in Windows Server Update Services (WSUS) zu schließen, die bereits von Hackern ausgenutzt wird. Die als CVE-2025-59287 identifizierte Lücke ermöglicht unauthentifizierte externe Codeausführung und veranlasste die US-Cybersicherheitsbehörde CISA, alle Bundesbehörden anzuweisen, den Patch bis zum 14. November zu installieren.

Die kritische Sicherheitslücke erhält eine Bewertung von 9,8 von 10 möglichen Punkten auf der Schweregrad-Skala. Sie betrifft eine zentrale Komponente, die IT-Administratoren zur Verwaltung und Verteilung von Microsoft-Updates in Unternehmensnetzwerken verwenden. Ein erfolgreicher Angriff könnte es Angreifern ermöglichen, die vollständige Kontrolle über einen WSUS-Server zu übernehmen und schädliche Updates an alle verbundenen Geräte zu verteilen.

Der ursprünglich am Patch Tuesday im Oktober veröffentlichte Fix erwies sich als unvollständig, weshalb am 23. Oktober das Notfall-Update erforderlich wurde. Sicherheitsforscher beobachteten bereits wenige Stunden nach der Veröffentlichung des Notfall-Patches aktive Angriffe.

Die Anatomie der WSUS-Bedrohung

CVE-2025-59287 basiert auf der unsicheren Deserialisierung nicht vertrauenswürdiger Daten innerhalb von WSUS. Dadurch kann ein externer, nicht authentifizierter Angreifer ein speziell gestaltetes Event an den Server senden und die Ausführung beliebigen Codes mit höchsten Systemprivilegien auslösen. Der Angriff erfordert keine Benutzerinteraktion, was ihn besonders gefährlich macht.

Sicherheitsunternehmen berichten, dass Angreifer aktiv nach öffentlich zugänglichen WSUS-Instanzen auf den Standard-TCP-Ports 8530 und 8531 scannen und diese angreifen. Nach dem ersten Zugriff führen Angreifer schädliche PowerShell-Befehle aus, um interne Netzwerk-Aufklärung zu betreiben und Daten zu stehlen. Googles Threat Intelligence Group untersucht Angriffe einer neu identifizierten Bedrohungsgruppe namens UNC6512 bei mehreren Opferorganisationen.

Die Schwachstelle betrifft Windows Server 2012, 2012 R2, 2016, 2019, 2022 und 2025. Einzige Voraussetzung ist eine aktivierte WSUS-Server-Rolle, die standardmäßig nicht aktiv ist.

Turbulenter Patch Tuesday und Windows 10-Abschied

Das WSUS-Notfall-Update folgt auf einen bereits umfangreichen Oktober-Patch Tuesday mit 175 behobenen Schwachstellen. Dieser Update-Zyklus war besonders bedeutsam, da er die letzten geplanten Sicherheitsupdates für die meisten Windows 10-Editionen markierte. Das Betriebssystem erreichte am 14. Oktober 2025 offiziell sein Support-Ende.

Das Oktober-Update schloss mehrere kritische Lücken, darunter drei Zero-Day-Schwachstellen, die bereits öffentlich bekannt oder aktiv ausgenutzt wurden, bevor ein Patch verfügbar war. Eine dieser Lücken, CVE-2025-24990, betraf eine Privilegienerweiterung in einem mit Windows ausgelieferten Modemtreiber – Microsoft behob die aktiven Angriffe durch komplette Entfernung des Treibers.

Verschärfte Bedrohungslage

Die aktive Ausnutzung der WSUS-Schwachstelle stellt eine schwere Bedrohung für Unternehmensnetzwerke dar. Ein kompromittierter WSUS-Server fungiert als vertrauenswürdiger Verteilungspunkt – Angreifer könnten verheerende interne Supply-Chain-Attacken starten und Malware als vermeintlich legitime Microsoft-Updates an jeden Arbeitsplatz im Netzwerk verteilen.

Die Bedrohung wird durch das Support-Ende von Windows 10 verschärft. Millionen Systeme laufen noch immer auf dem nicht mehr unterstützten Betriebssystem, was die Angriffsfläche für Organisationen erheblich vergrößert. Ohne regelmäßige Sicherheits-Patches sind diese Windows 10-Maschinen bekannten Exploits schutzlos ausgeliefert. Microsoft warnt: Über 90 Prozent aller Ransomware-Angriffe zielen auf nicht unterstützte PCs ab.

Sofortige Maßnahmen erforderlich

Oberste Priorität für alle Organisationen ist die Installation des Notfall-Updates für CVE-2025-59287 auf alle betroffenen Server. CISA drängt Unternehmen nachdrücklich, verwundbare Server zu identifizieren, den Patch zu installieren und anschließend einen Systemneustart durchzuführen.

Wer nicht sofort patchen kann, sollte nach Empfehlung von Microsoft und CISA den eingehenden Datenverkehr zu den Ports 8530 und 8531 an der Host-Firewall blockieren. Das Windows 10-Support-Ende erfordert zudem klare Migrationspläne. Während Microsoft kostenpflichtige Extended Security Updates für ein weiteres Jahr anbietet, bleibt die Umstellung auf ein unterstütztes Betriebssystem wie Windows 11 die einzige langfristige Lösung.

Anzeige: Passend zum Windows‑10‑Supportende: Ihr PC gilt als „inkompatibel“ für Windows 11? Ein kostenloser PDF‑Report zeigt den legalen Weg, wie Sie Windows 11 trotzdem installieren – Schritt für Schritt, ohne neue Hardware und ohne Datenverlust. Ideal auch für Einsteiger mit klarer Anleitung. Jetzt den Gratis-Report sichern

Weitere Artikel zum Thema

• 28.10.25 Uhr - Cybersicherheit: KI-gestützte Malware
• 28.10.25 Uhr - Microsoft: Neue App-Verwaltung und personalisierte
• 28.10.25 Uhr - Microsoft: Australische Klage wegen versteckter
• 28.10.25 Uhr - Microsoft Teams überwacht Büro-Präsenz
• 28.10.25 Uhr - **PayPal und OpenAI: ChatGPT wird zur

• 28.10.25 Uhr - Microsoft revolutioniert Windows-Absturz-Diagnose
• 28.10.25 Uhr - Anthropic integriert Claude direkt in Microsoft
• 28.10.25 Uhr - Microsoft: KI-Agenten verwandeln Office-Nutzer in
• 28.10.25 Uhr - Microsoft: Kritische Windows-Sicherheitslücke
• 28.10.25 Uhr - Microsoft beendet Windows 10-Support: Millionen