25. Oktober 2025
Microsoft hat ein außerplanmäßiges Sicherheitsupdate veröffentlicht, um eine schwerwiegende Schwachstelle im Windows Server Update Service (WSUS) zu beheben. Betroffen sind die Windows-Server-Versionen 2012, 2016, 2019, 2022 und 2025.
Die Sicherheitslücke mit der Kennung CVE-2025-59287 war bereits zuvor adressiert worden, konnte durch ein früheres Update jedoch nicht vollständig geschlossen werden. Mit dem nun veröffentlichten Patch soll das Problem endgültig behoben werden.
Die CISA fordert Unternehmen nachdrücklich auf, die aktualisierten Richtlinien von Microsoft zur Sicherheitslücke im Windows Server Update Service (WSUS), 1, zu implementieren, da sonst das Risiko besteht, dass ein nicht authentifizierter Akteur mit Systemrechten Remote-Code ausführen kann. Unternehmen mit betroffenen Produkten sollten unverzüglich folgende Maßnahmen ergreifen:
- Identifizieren Sie Server, die derzeit so konfiguriert sind, dass sie für Angriffe anfällig sind (d. h. betroffene Server mit aktivierter WSUS-Serverrolle und offenen Ports 8530/8531), um diese vorrangig zu schützen.
- Wenden Sie das am 23. Oktober 2025 veröffentlichte Out-of-Band-Sicherheitsupdate auf alle in Schritt 1 identifizierten Server an. Starten Sie die WSUS-Server nach der Installation neu, um die Abhilfe abzuschließen. Wenn Unternehmen das Update nicht sofort anwenden können, sollten Systemadministratoren die WSUS-Serverrolle deaktivieren und/oder den eingehenden Datenverkehr zu den Ports 8530/8531, den Standard-Listenern für WSUS, an der Host-Firewall blockieren. Beachten Sie, dass Sie keine dieser Abhilfemaßnahmen rückgängig machen sollten, bevor Ihr Unternehmen das Update installiert hat.
- Wenden Sie die Updates auf die verbleibenden Windows-Server an. Starten Sie die Server nach der Installation neu, um die Abhilfe abzuschließen.
Die CISA hat CVE-2025-59287 am 24. Oktober 2025 in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen.
CVE-2025-59287
Released: Oct 14, 2025
Last updated: Oct 24, 2025
- Assigning CNA Microsoft
- CVE.org link CVE-2025-59287
- Impact: Remote Code Execution
- Max Severity: Critical
- Vector String
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C
- Metrics: VSS:3.1 9.8 / 8.8
Zusammenfassung
Die Deserialisierung nicht vertrauenswürdiger Daten im Windows Server Update Service ermöglicht es einem unbefugten Angreifer, Code über ein Netzwerk auszuführen.
Abhilfemaßnahmen
Eine Abhilfemaßnahme ist eine Einstellung, eine gängige Konfiguration oder eine allgemeine bewährte Vorgehensweise, die in einem Standardzustand vorhanden ist und die Schwere der Ausnutzung einer Sicherheitslücke verringern kann. Die folgenden Abhilfemaßnahmen können in Ihrer Situation hilfreich sein:
Die WSUS-Serverrolle ist auf Windows-Servern standardmäßig nicht aktiviert. Windows-Server, auf denen die WSUS-Serverrolle nicht aktiviert ist, sind von dieser Sicherheitslücke nicht betroffen. Wenn die WSUS-Serverrolle aktiviert ist, wird der Server anfällig, wenn das Update nicht vor der Aktivierung der WSUS-Serverrolle installiert wird.
Workarounds
Die folgenden Workarounds können in Ihrer Situation hilfreich sein. In allen Fällen empfiehlt Microsoft dringend, die Updates für diese Sicherheitslücke so schnell wie möglich zu installieren, auch wenn Sie eine dieser Abhilfemaßnahmen beibehalten möchten:
Wenn Sie das Out-of-Band-Update vom 23. Oktober 2025 nicht installieren können, können Sie eine der folgenden Maßnahmen ergreifen, um sich vor dieser Sicherheitslücke zu schützen:
- Wenn die WSUS-Serverrolle auf Ihrem Server aktiviert ist, deaktivieren Sie sie. Beachten Sie, dass Clients keine Updates mehr vom Server erhalten, wenn WSUS deaktiviert ist.
- Blockieren Sie den eingehenden Datenverkehr zu den Ports 8530 und 8531 auf der Host-Firewall (anstatt nur auf der Netzwerk-/Perimeter-Firewall), um WSUS außer Betrieb zu setzen.
Wichtig: Heben Sie diese Workarounds erst auf, nachdem Sie das Update installiert haben.
Wie könnte ein Angreifer diese Sicherheitslücke ausnutzen?
Ein nicht authentifizierter Angreifer könnte aus der Ferne ein manipuliertes Ereignis senden, das eine unsichere Deserialisierung von Objekten in einem älteren Serialisierungsmechanismus auslöst, was zur Ausführung von Remote-Code führen kann.
Welche Maßnahmen muss ich ergreifen, um mich vor dieser Sicherheitslücke zu schützen?
Um diese Sicherheitslücke vollständig zu beheben:
- Windows Server-Kunden sollten das am 23. Oktober 2025 veröffentlichte Out-of-Band-Update installieren.
- Windows Server, die am Hotpatch-Programm teilnehmen, sollten das am 24. Oktober 2025 veröffentlichte Out-of-Band-Standalone-Sicherheitsupdate installieren.
Wenn Sie das Update nicht sofort installieren können, finden Sie im Abschnitt „Workaround” Maßnahmen, die Sie zum Schutz ergreifen können.
Erfordert das am 23. Oktober 2025 veröffentlichte Out-of-Band-Update einen Neustart des Windows-Servers?
Ja. Nach der Installation des Updates müssen Sie Ihr System neu starten.
Erfordert das am 24. Oktober 2025 veröffentlichte eigenständige Out-of-Band-Sicherheitsupdate für Windows Server, die am Hotpatch-Programm teilnehmen, einen Neustart?
Ja. Ein Neustart ist nur auf Servern erforderlich, auf denen WSUS aktiviert ist. Dieses Update setzt die vorherige Baseline nicht zurück.
Wie erhalte ich das außerplanmäßige Sicherheitsupdate vom 23. Oktober 2025?
Das Update ist über die folgenden Kanäle verfügbar:
- Für Kunden, die Updates automatisch installieren, wird dieses Update automatisch von Windows Update und Microsoft Update heruntergeladen und installiert.
- Das eigenständige Paket für dieses Update ist auf der Microsoft Update Catalog-Website verfügbar.
- Dieses Update wird automatisch mit Windows Server Update Services (WSUS) synchronisiert.
Wie erhalte ich das Out-of-Band-Standalone-Sicherheitsupdate vom 24. Oktober 2025 für Windows Server, die am Hotpatch-Programm teilnehmen?
Windows Server 2022:
- Für Kunden, die Updates automatisch installieren, wird dieses Update automatisch von Windows Update heruntergeladen und installiert.
- Dieses Update wird automatisch mit Windows Server Update Services (WSUS) synchronisiert.
Windows Server 2025:
- Für Kunden, die Updates automatisch installieren, wird dieses Update automatisch von Windows Update heruntergeladen und installiert.
Warum hat sich die temporäre CVSS-Bewertung geändert?
Microsoft hat die Metrik „Exploit Code Maturity” (Reife des Exploit-Codes) der temporären CVSS-Bewertung von „Unproven” (U) auf „Proof-of-Concept” (P) aktualisiert, nachdem die Verfügbarkeit eines öffentlich bekannt gegebenen PoC-Codes für diese CVE bestätigt wurde.
Wird eine aktualisierte Windows Update-Offline-Scan-Datei, Wsusscn2.cab, mit diesem neuen Sicherheitsupdate verfügbar sein?
Ja. Eine aktualisierte Scan-Datei wird zum Zeitpunkt der Veröffentlichung oder kurz danach verfügbar sein.
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Industrielles Phishing gegen Italiens Infrastruktur: Group‑IB entdeckt automatisiertes Aruba‑Imitierendes Phishing‑Kit
Stärkung von Red Teams: Ein modulares Gerüst für Kontrollbewertungen
SAP Patch Day November 2025: Kritische Lücken in SQL Anywhere Monitor und SAP Solution Manager geschlossen
Nordkoreanische APT-Gruppe missbraucht Google Find Hub für Fernlösch-Angriffe auf Android-Geräte
DNS-Ausfallsicherheit entscheidet über die Unternehmenskontinuität
Studien
BSI-Lagebericht 2025: Fortschritte in der Cybersicherheit – Deutschland bleibt verwundbar
Forrester veröffentlicht Technologie- und Sicherheitsprognosen für 2026
Zunahme KI-gestützter Cyberbedrohungen im Fertigungssektor
KnowBe4-Studie: Personalisierte Phishing-E-Mails setzen auf die Verwendung von Firmennamen
Neue Studie: Mehrheit der US-Großunternehmen meldet KI-Risiken
Whitepaper
Vorbereitung auf künftige Cyberbedrohungen: Google veröffentlicht „Cybersecurity Forecast 2026“
Aktuelle Studie zeigt: Jeder Vierte in Deutschland bereits Opfer von digitalem Betrug
Cybersecurity in Deutschland: 200 Milliarden Euro Schaden trotz steigender IT-Ausgaben
Die EU bleibt weiterhin Ziel zahlreicher, sich überschneidender Bedrohungsgruppen
Verizon Business DBIR 2025: So können Gesundheitseinrichtungen Cyberangriffen begegnen
Hamsterrad-Rebell
Identity und Access Management (IAM) im Zeitalter der KI-Agenten: Sichere Integration von KI in Unternehmenssysteme
Infoblox zeigt praxisnahe IT-Security-Strategien auf it-sa 2025 und exklusivem Führungskräfte-Event in Frankfurt
IT-Security Konferenz in Nürnberg: qSkills Security Summit 2025 setzt auf Handeln statt Zögern
Von Palo Alto nach Paderborn: Wie eine Initiative US-Cyberfachkräfte für Deutschland gewinnen will
