25. Oktober 2025
Microsoft hat ein außerplanmäßiges Sicherheitsupdate veröffentlicht, um eine schwerwiegende Schwachstelle im Windows Server Update Service (WSUS) zu beheben. Betroffen sind die Windows-Server-Versionen 2012, 2016, 2019, 2022 und 2025.
Die Sicherheitslücke mit der Kennung CVE-2025-59287 war bereits zuvor adressiert worden, konnte durch ein früheres Update jedoch nicht vollständig geschlossen werden. Mit dem nun veröffentlichten Patch soll das Problem endgültig behoben werden.
Die CISA fordert Unternehmen nachdrücklich auf, die aktualisierten Richtlinien von Microsoft zur Sicherheitslücke im Windows Server Update Service (WSUS), 1, zu implementieren, da sonst das Risiko besteht, dass ein nicht authentifizierter Akteur mit Systemrechten Remote-Code ausführen kann. Unternehmen mit betroffenen Produkten sollten unverzüglich folgende Maßnahmen ergreifen:
- Identifizieren Sie Server, die derzeit so konfiguriert sind, dass sie für Angriffe anfällig sind (d. h. betroffene Server mit aktivierter WSUS-Serverrolle und offenen Ports 8530/8531), um diese vorrangig zu schützen.
- Wenden Sie das am 23. Oktober 2025 veröffentlichte Out-of-Band-Sicherheitsupdate auf alle in Schritt 1 identifizierten Server an. Starten Sie die WSUS-Server nach der Installation neu, um die Abhilfe abzuschließen. Wenn Unternehmen das Update nicht sofort anwenden können, sollten Systemadministratoren die WSUS-Serverrolle deaktivieren und/oder den eingehenden Datenverkehr zu den Ports 8530/8531, den Standard-Listenern für WSUS, an der Host-Firewall blockieren. Beachten Sie, dass Sie keine dieser Abhilfemaßnahmen rückgängig machen sollten, bevor Ihr Unternehmen das Update installiert hat.
- Wenden Sie die Updates auf die verbleibenden Windows-Server an. Starten Sie die Server nach der Installation neu, um die Abhilfe abzuschließen.
Die CISA hat CVE-2025-59287 am 24. Oktober 2025 in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen.
CVE-2025-59287
Released: Oct 14, 2025
Last updated: Oct 24, 2025
- Assigning CNA Microsoft
- CVE.org link CVE-2025-59287
- Impact: Remote Code Execution
- Max Severity: Critical
- Vector String
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C
- Metrics: VSS:3.1 9.8 / 8.8
Zusammenfassung
Die Deserialisierung nicht vertrauenswürdiger Daten im Windows Server Update Service ermöglicht es einem unbefugten Angreifer, Code über ein Netzwerk auszuführen.
Abhilfemaßnahmen
Eine Abhilfemaßnahme ist eine Einstellung, eine gängige Konfiguration oder eine allgemeine bewährte Vorgehensweise, die in einem Standardzustand vorhanden ist und die Schwere der Ausnutzung einer Sicherheitslücke verringern kann. Die folgenden Abhilfemaßnahmen können in Ihrer Situation hilfreich sein:
Die WSUS-Serverrolle ist auf Windows-Servern standardmäßig nicht aktiviert. Windows-Server, auf denen die WSUS-Serverrolle nicht aktiviert ist, sind von dieser Sicherheitslücke nicht betroffen. Wenn die WSUS-Serverrolle aktiviert ist, wird der Server anfällig, wenn das Update nicht vor der Aktivierung der WSUS-Serverrolle installiert wird.
Workarounds
Die folgenden Workarounds können in Ihrer Situation hilfreich sein. In allen Fällen empfiehlt Microsoft dringend, die Updates für diese Sicherheitslücke so schnell wie möglich zu installieren, auch wenn Sie eine dieser Abhilfemaßnahmen beibehalten möchten:
Wenn Sie das Out-of-Band-Update vom 23. Oktober 2025 nicht installieren können, können Sie eine der folgenden Maßnahmen ergreifen, um sich vor dieser Sicherheitslücke zu schützen:
- Wenn die WSUS-Serverrolle auf Ihrem Server aktiviert ist, deaktivieren Sie sie. Beachten Sie, dass Clients keine Updates mehr vom Server erhalten, wenn WSUS deaktiviert ist.
- Blockieren Sie den eingehenden Datenverkehr zu den Ports 8530 und 8531 auf der Host-Firewall (anstatt nur auf der Netzwerk-/Perimeter-Firewall), um WSUS außer Betrieb zu setzen.
Wichtig: Heben Sie diese Workarounds erst auf, nachdem Sie das Update installiert haben.
Wie könnte ein Angreifer diese Sicherheitslücke ausnutzen?
Ein nicht authentifizierter Angreifer könnte aus der Ferne ein manipuliertes Ereignis senden, das eine unsichere Deserialisierung von Objekten in einem älteren Serialisierungsmechanismus auslöst, was zur Ausführung von Remote-Code führen kann.
Welche Maßnahmen muss ich ergreifen, um mich vor dieser Sicherheitslücke zu schützen?
Um diese Sicherheitslücke vollständig zu beheben:
- Windows Server-Kunden sollten das am 23. Oktober 2025 veröffentlichte Out-of-Band-Update installieren.
- Windows Server, die am Hotpatch-Programm teilnehmen, sollten das am 24. Oktober 2025 veröffentlichte Out-of-Band-Standalone-Sicherheitsupdate installieren.
Wenn Sie das Update nicht sofort installieren können, finden Sie im Abschnitt „Workaround” Maßnahmen, die Sie zum Schutz ergreifen können.
Erfordert das am 23. Oktober 2025 veröffentlichte Out-of-Band-Update einen Neustart des Windows-Servers?
Ja. Nach der Installation des Updates müssen Sie Ihr System neu starten.
Erfordert das am 24. Oktober 2025 veröffentlichte eigenständige Out-of-Band-Sicherheitsupdate für Windows Server, die am Hotpatch-Programm teilnehmen, einen Neustart?
Ja. Ein Neustart ist nur auf Servern erforderlich, auf denen WSUS aktiviert ist. Dieses Update setzt die vorherige Baseline nicht zurück.
Wie erhalte ich das außerplanmäßige Sicherheitsupdate vom 23. Oktober 2025?
Das Update ist über die folgenden Kanäle verfügbar:
- Für Kunden, die Updates automatisch installieren, wird dieses Update automatisch von Windows Update und Microsoft Update heruntergeladen und installiert.
- Das eigenständige Paket für dieses Update ist auf der Microsoft Update Catalog-Website verfügbar.
- Dieses Update wird automatisch mit Windows Server Update Services (WSUS) synchronisiert.
Wie erhalte ich das Out-of-Band-Standalone-Sicherheitsupdate vom 24. Oktober 2025 für Windows Server, die am Hotpatch-Programm teilnehmen?
Windows Server 2022:
- Für Kunden, die Updates automatisch installieren, wird dieses Update automatisch von Windows Update heruntergeladen und installiert.
- Dieses Update wird automatisch mit Windows Server Update Services (WSUS) synchronisiert.
Windows Server 2025:
- Für Kunden, die Updates automatisch installieren, wird dieses Update automatisch von Windows Update heruntergeladen und installiert.
Warum hat sich die temporäre CVSS-Bewertung geändert?
Microsoft hat die Metrik „Exploit Code Maturity” (Reife des Exploit-Codes) der temporären CVSS-Bewertung von „Unproven” (U) auf „Proof-of-Concept” (P) aktualisiert, nachdem die Verfügbarkeit eines öffentlich bekannt gegebenen PoC-Codes für diese CVE bestätigt wurde.
Wird eine aktualisierte Windows Update-Offline-Scan-Datei, Wsusscn2.cab, mit diesem neuen Sicherheitsupdate verfügbar sein?
Ja. Eine aktualisierte Scan-Datei wird zum Zeitpunkt der Veröffentlichung oder kurz danach verfügbar sein.
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Microsoft-Cloud GCC High: Wie FedRAMP eine kritisch bewertete Technologie für US-Behörden genehmigte
CrackArmor: AppArmor-Schwachstellen ermöglichen Root-Zugriff auf über 12 Millionen Linux-Systemen
KI-Agenten als interne Sicherheitsrisiken: Was Experimente zeigen
MCP-Sicherheitsstudie: 555 Server mit riskanten Tool-Kombinationen identifiziert
SOX-Compliance in SAP: Anforderungen, IT-Kontrollen und der Weg zur Automatisierung
Studien
Drucksicherheit bleibt in vielen KMU ein vernachlässigter Bereich
Sieben Regierungen einigen sich auf 6G-Sicherheitsrahmen
Lieferkettenkollaps und Internetausfall: Unternehmen rechnen mit dem Unwahrscheinlichen
KI als Werkzeug für schnelle, kostengünstige Cyberangriffe
KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen
Whitepaper
Quantifizierung und Sicherheit mit modernster Quantentechnologie
KI-Betrug: Interpol warnt vor industrialisierter Finanzkriminalität – 4,5-fach profitabler
Cloudflare Threat Report 2026: Ransomware beginnt mit dem Login – KI und Botnetze treiben die Industrialisierung von Cyberangriffen
EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig
Böswillige KI-Nutzung erkennen und verhindern: Anthropics neuer Bedrohungsbericht mit Fallstudien
Hamsterrad-Rebell
Sichere Enterprise Browser und Application Delivery für moderne IT-Organisationen
Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS) – Teil 2
Incident Response Retainer – worauf sollte man achten?
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
