Windows Server: Microsoft kämpft gegen kritische Sicherheitslücke
Microsoft veröffentlicht Notfall-Update für schwerwiegende Windows Server-Schwachstelle mit CVSS-Wert 9,8. Aktive Angriffe zielen auf Unternehmensnetzwerke, CISA warnt vor Lieferkettenkompromittierung.
Systemadministratoren stehen unter Druck: Microsoft bekämpft aktive Angriffe auf eine schwerwiegende Schwachstelle im Windows Server Update Service (WSUS). Die Lücke ermöglicht Fernzugriff auf Server und zwang Microsoft nach einem fehlgeschlagenen ersten Patch zu einem Notfall-Update. Die US-Cybersicherheitsbehörde CISA warnte am 29. Oktober 2025 eindringlich vor verheerenden internen Angriffen über die Lieferkette.
Die als CVE-2025-59287 erfasste Schwachstelle erreicht einen kritischen Wert von 9,8 von 10 Punkten. Betroffen sind Windows Server-Versionen 2012, 2016, 2019, 2022 und 2025. Besonders alarmierend: Bereits Stunden nach Veröffentlichung eines Proof-of-Concept-Exploits entdeckten Forscher aktive Angriffe. Dies zeigt, wie schnell Cyberkriminelle neue Schwachstellen ausnutzen können.
Fehlgeschlagener Patch zwingt zu Notfall-Update
Die Geschichte von CVE-2025-59287 begann am 14. Oktober 2025 mit Microsofts regulärem “Patch Tuesday”. Doch Sicherheitsforscher und Angreifer stellten schnell fest: Der erste Patch war unvollständig. Microsoft musste den ungewöhnlichen Schritt eines außerplanmäßigen Updates am 23. Oktober gehen.
“Wir haben diese CVE erneut veröffentlicht, nachdem wir feststellten, dass das ursprüngliche Update das Problem nicht vollständig behoben hatte”, räumte ein Microsoft-Sprecher ein. CISA reagierte prompt und fügte die Schwachstelle am 24. Oktober dem Katalog bekannter Schwachstellen hinzu. Alle Bundesbehörden müssen bis zum 14. November 2025 den neuen Patch installieren.
Angriffsziel mit verheerenden Folgen
Der Windows Server Update Service bildet das Rückgrat der IT-Verwaltung in Unternehmen. Administratoren laden Microsoft-Updates zentral herunter und verteilen sie im gesamten Netzwerk. Diese zentrale Rolle macht WSUS zu einem besonders wertvollen Ziel für Hacker.
Die Schwachstelle liegt in der Deserialisierung nicht vertrauenswürdiger Daten. Ein unauthentifizierter Angreifer kann durch eine speziell präparierte Netzwerkanfrage Code mit höchsten Systemprivilegien ausführen. Justin Moore von Palo Alto Networks’ Unit 42 warnt: “Ein Angreifer kann das gesamte Patch-Verteilungssystem übernehmen” und als legitime Microsoft-Updates getarnte Schadsoftware auf alle Workstations und Server verteilen.
Weltweite Angriffswelle im Gange
Seit dem 29. Oktober 2025 beobachten Forscher breit angelegte Angriffe auf internetfähige WSUS-Server. Die Attacken begannen bereits am 24. Oktober und zielen auf ersten Zugang und Aufklärung ab.
Angreifer nutzen Base64-codierte PowerShell-Befehle, um sensible Daten zu sammeln:
– Externe IP-Adressen der Server
– Vollständige Listen aller Active Directory-Benutzer
– Detaillierte Konfigurationen aller Netzwerkschnittstellen
Diese Informationen werden an externe Services der Angreifer übertragen. Betroffen sind Organisationen aus Bildung, Technologie, Fertigung und Gesundheitswesen – hauptsächlich in den USA. Das Sicherheitsunternehmen Huntress beschreibt die Methode als simple “Point-and-Shoot”-Technik.
Sofortmaßnahmen und Ausblick
Oberste Priorität hat die Installation des Notfall-Updates vom 23. Oktober. CISA empfiehlt dringend einen Neustart nach der Installation. Organisationen, die nicht sofort patchen können, sollten den WSUS-Server-Dienst deaktivieren oder eingehenden Datenverkehr zu den Standard-WSUS-Ports (TCP 8530 und 8531) blockieren.
Microsoft bereitet bereits das nächste reguläre Sicherheitsupdate vor. Eine Vorschau des November 2025 Updates für Windows 11 erschien am 30. Oktober. Der anhaltende WSUS-Vorfall unterstreicht die kritische Bedeutung sorgfältigen Patch-Managements und robuster Netzwerksicherheit – ein Wettlauf gegen die Zeit in einer sich ständig wandelnden Bedrohungslandschaft.
