Microsoft WSUS-Lücke: Angreifer übernehmen Server-Kontrolle
Eine schwerwiegende Sicherheitsschwachstelle in Microsofts Update-Diensten ermöglicht Angreifern die vollständige Übernahme von Servern. Der Notfall-Patch muss umgehend installiert werden.
Eine kritische Sicherheitslücke in Microsofts Windows Server Update Services (WSUS) wird bereits aktiv von Cyberkriminellen ausgenutzt. Die als CVE-2025-59287 eingestufte Schwachstelle ermöglicht es Angreifern ohne Authentifizierung, die komplette Kontrolle über betroffene Server zu erlangen.
Das Bundesamt für Sicherheit in der Informationstechnik warnt vor dem enormen Schadenspotenzial: Kompromittierte WSUS-Server können als Einfallstor für Supply-Chain-Attacken dienen und Malware unbemerkt an alle angeschlossenen Unternehmensrechner verteilen.
Doppelter Patch-Fehlschlag sorgt für Chaos
Die Situation eskalierte nach einem missglückten ersten Sicherheitsupdate im Oktober-Patchday. Microsoft musste nur neun Tage später, am 23. Oktober, einen außerplanmäßigen Notfall-Patch nachschieben. Cybersecurity-Unternehmen beobachteten bereits wenige Stunden nach der Korrektur erste Angriffswellen.
Mit einem Schweregrad von 9,8 von 10 möglichen Punkten gilt die Lücke als nahezu perfekter Angriffspunkt. Die US-Behörde CISA stufte CVE-2025-59287 umgehend als aktiv ausgenutzte Bedrohung ein.
So funktioniert der Angriff
Das Herzstück der Schwachstelle liegt in einer fehlerhaften Deserialisierung ungültiger Daten im WSUS-System. Angreifer können speziell präparierte Anfragen an Endpunkte wie GetCookie() senden, wodurch der Server schadhaften Code mit höchsten Systemprivilegien ausführt.
Besonders brisant: Öffentlich verfügbare Exploit-Codes machen den Angriff für jeden Hacker “trivial ausführbar”. Betroffen sind alle Windows Server-Versionen von 2012 bis zum aktuellen 2025er-Release.
Cyberkriminelle scannen bereits das Internet
Mehrere Sicherheitsunternehmen, darunter Palo Alto Networks und Huntress, dokumentierten seit dem 24. Oktober systematische Angriffe. Die Täter durchsuchen das Internet nach exponierten WSUS-Servern auf den Ports 8530 und 8531.
Nach erfolgreicher Kompromittierung führen die Angreifer Netzwerkerkundungen durch: Sie nutzen Kommandozeilen-Tools und PowerShell, um Benutzerkonten zu identifizieren und Netzwerkstrukturen zu kartieren. Googles Threat Intelligence verfolgt diese Aktivitäten unter dem neuen Akteur UNC6512.
Supply-Chain-Alptraum wird Realität
Die strategische Bedeutung von WSUS-Servern macht diese Lücke besonders gefährlich. Als zentrale Update-Verteilstellen können kompromittierte Server Malware als vermeintlich legitime Microsoft-Updates an sämtliche Unternehmensrechner ausliefern.
Experten warnen: Ein einziger gekaperter WSUS-Server kann zur Verteilung von Ransomware oder Spionagesoftware an Tausende Arbeitsplätze missbraucht werden. Obwohl diese Server normalerweise nicht öffentlich erreichbar sein sollten, identifizierten Sicherheitsfirmen weltweit Tausende exponierte Instanzen.
Sofortige Gegenmaßnahmen erforderlich
IT-Administratoren müssen unverzüglich den außerplanmäßigen Microsoft-Patch vom 23. Oktober installieren und die betroffenen Systeme neu starten. Das BSI empfiehlt zusätzliche Überprüfungen auf bereits erfolgte Kompromittierungen.
Für Systeme, die nicht sofort gepatcht werden können, raten Experten zu temporären Schutzmaßnahmen: Deaktivierung der WSUS-Rolle oder vollständige Sperrung des eingehenden Traffics auf den relevanten Ports.
Sicherheitsteams sollten aktiv nach verdächtigen Prozessen suchen, die von wsusservice.exe oder w3wp.exe gestartet werden, sowie ungewöhnliche PowerShell-Aktivitäten überwachen. Angesichts der bereits laufenden Angriffe ist schnelles Handeln die einzige wirksame Verteidigung.
