Microsoft: Notfall-Update für kritische Windows Server-Lücke
Microsoft veröffentlicht dringenden Sicherheitspatch für kritische Windows Server-Schwachstelle, die bereits aktiv ausgenutzt wird. Parallel schützt eine Explorer-Änderung vor Passwort-Diebstahl durch manipulierte Dateivorschauen.
Microsoft schlägt Alarm: Ein außerplanmäßiger Sicherheitspatch soll eine kritische Schwachstelle in Windows Server schließen, die bereits aktiv ausgenutzt wird. Gleichzeitig ändert das Unternehmen das Verhalten des Windows-Explorers, um Passwort-Diebstahl zu verhindern.
Die dringlichere der beiden Maßnahmen ist ein Notfall-Update vom 23. Oktober 2025, das eine schwerwiegende Sicherheitslücke im Windows Server Update Service (WSUS) behebt. Die als CVE-2025-59287 katalogisierte Schwachstelle erreicht einen kritischen Schweregrad von 9,8 von 10 Punkten. Angreifer könnten ohne Authentifizierung die Kontrolle über betroffene Server übernehmen.
Die US-amerikanische Cybersicherheitsbehörde CISA stuft die Lücke als aktiv ausgenutzt ein und drängt Unternehmen zur sofortigen Installation des Patches. Besonders brisant: Bereits Exploit-Code kursiert öffentlich im Internet.
Unvollständiger Oktober-Patch machte Notfall-Update nötig
Das außerplanmäßige Update war erforderlich, weil der reguläre Oktober-Patch die Schwachstelle nicht vollständig geschlossen hatte. Das Problem liegt in der Art, wie WSUS Daten verarbeitet: Speziell präparierte Ereignisse können zur unsicheren Deserialisierung von Daten führen und Angreifern System-Rechte verschaffen.
Betroffen sind sämtliche Windows Server-Versionen von 2012 bis 2025. Sicherheitsforscher beobachten bereits, wie Cyberkriminelle gezielt nach verwundbaren WSUS-Servern scannen – typischerweise über die Ports 8530 und 8531.
CISA empfiehlt dringend, betroffene Server zu identifizieren und umgehend zu patchen. Nach der Installation ist ein Neustart erforderlich. Wer nicht sofort patchen kann, sollte die WSUS-Server-Rolle deaktivieren oder die entsprechenden Ports in der Firewall blockieren.
Windows-Explorer stoppt gefährliche Vorschau-Funktion
Parallel führt Microsoft eine wichtige Sicherheitsverbesserung im Windows-Explorer ein. Seit dem 14. Oktober zeigt die Vorschau standardmäßig keine Dateien mehr an, die aus dem Internet heruntergeladen wurden.
Der Grund: Über manipulierte HTML-Tags in scheinbar harmlosen Dateien konnten Angreifer NTLM-Passwort-Hashes abgreifen – ohne dass Nutzer die Datei überhaupt öffnen mussten. Ein kurzer Blick in die Vorschau genügte bereits.
Anzeige: Apropos Windows 11 und Sicherheit: Ihr PC gilt als „inkompatibel“ für Windows 11? Ein legaler Weg funktioniert trotzdem. Ein kostenloser PDF-Report erklärt Schritt für Schritt, wie Sie Windows 11 trotz Kompatibilitätsprüfung installieren – ohne neue Hardware und ohne Datenverlust. Jetzt kostenlosen Windows‑11-Report herunterladen
Die neue Schutzfunktion erkennt das sogenannte “Mark of the Web” – eine Markierung, die Windows automatisch an heruntergeladenen Dateien anhängt. Statt des Inhalts erscheint nun eine Warnung. Betroffen sind Windows 11 und verschiedene Server-Versionen.
Präventive Sicherheitsstrategie im Fokus
Beide Maßnahmen spiegeln Microsofts verschärfte Sicherheitsstrategie wider. Die WSUS-Schwachstelle ist besonders gefährlich, da sie remote und ohne Anmeldung ausgenutzt werden kann – ein gefundenes Fressen für großangelegte Angriffe.
Die Explorer-Änderung mag weniger spektakulär sein, schließt aber eine subtile Einfallspforte. NTLM-Hash-Diebstahl ermöglicht es Angreifern, sich in Netzwerken auszubreiten und höhere Berechtigungen zu erlangen.
Wer einer heruntergeladenen Datei vertraut, kann die Vorschau manuell aktivieren: Rechtsklick auf die Datei, “Eigenschaften” wählen und “Entsperren” anklicken.
Systemadministratoren sollten das WSUS-Notfall-Update (KB5070881, KB5070884 und weitere je nach Server-Version) sofort auf allen betroffenen Servern installieren. Für Endnutzer bedeutet die Explorer-Änderung: Mehr Vorsicht beim Umgang mit Downloads ist gefragt.
