Microsoft hat ein außerplanmäßiges Sicherheitsupdate für eine kritische Schwachstelle in Windows Server veröffentlicht. Die Lücke mit der Kennung CVE-2025-59287 wird bereits aktiv für Angriffe ausgenutzt und ermöglicht es Angreifern, die vollständige Kontrolle über betroffene Systeme zu erlangen.
Die Sicherheitslücke betrifft den Windows Server Update Service (WSUS) und wurde mit einem Schweregrad von 9,8 von 10 bewertet. Administratoren wird dringend empfohlen, das Update unverzüglich zu installieren, um ihre Netzwerke zu schützen.
Das Wichtigste in Kürze
- Eine kritische Sicherheitslücke (CVE-2025-59287) in Windows Server wird aktiv ausgenutzt.
- Microsoft hat ein dringendes Notfall-Update außerhalb des regulären Patch-Zyklus bereitgestellt.
- Die Schwachstelle ermöglicht Angreifern die Remotecodeausführung mit höchsten Systemrechten.
- Administratoren sollten sofort handeln, um ihre Systeme zu schützen oder alternative Schutzmaßnahmen zu ergreifen.
Was ist passiert? Kritische Lücke bedroht Server
Eine schwerwiegende Sicherheitslücke im Windows Server Update Service (WSUS) zwingt Microsoft zu schnellem Handeln. Unter der Kennung CVE-2025-59287 wurde eine Schwachstelle bekannt, die es einem Angreifer ohne Authentifizierung ermöglicht, aus der Ferne Schadcode auszuführen. Das bedeutet, ein Angreifer benötigt keinen Benutzernamen oder ein Passwort, um in das System einzudringen.
Die Gefahr ist erheblich, da erfolgreiche Angriffe mit den höchsten Systemprivilegien (SYSTEM) ausgeführt werden. Dies gibt den Angreifern die volle Kontrolle über den kompromittierten Server, was den Diebstahl von Daten, die Installation von Ransomware oder die weitere Ausbreitung im Netzwerk zur Folge haben kann.
Die Schwachstelle betrifft eine breite Palette von Windows-Server-Versionen, darunter Windows Server 2012, 2016, 2019, 2022 und die kommende Version 2025. Entscheidend ist jedoch, dass nur Server gefährdet sind, auf denen die WSUS-Serverrolle aktiv ist.
Aktive Angriffe bereits im Gange
Die Dringlichkeit dieses Updates wird durch die Tatsache unterstrichen, dass die Sicherheitslücke nicht nur theoretischer Natur ist. Sicherheitsforscher und Behörden haben bestätigt, dass CVE-2025-59287 bereits aktiv ausgenutzt wird. Das niederländische Nationale Cyber Security Centre (NCSC) meldete, dass es von einem vertrauenswürdigen Partner über beobachtete Angriffe informiert wurde.
Das Sicherheitsunternehmen Eye Security gab an, den ersten Missbrauch am 24. Oktober 2025 um 06:55 Uhr UTC bei einem seiner Kunden festgestellt zu haben. Die Angreifer nutzten die Lücke, um eine Base64-kodierte Nutzlast auf dem Server zu platzieren. Bei dieser Nutzlast handelt es sich um eine .NET-Anwendung.
Verschleierte Angriffsmethode
Die Angreifer verwenden einen Trick, um ihre Spuren zu verwischen. Anstatt die auszuführenden Befehle direkt zu senden, übermitteln sie diese in einem HTTP-Request-Header namens „aaaa“. Die Schadsoftware auf dem Server liest diesen Header aus und führt die Befehle aus. Dies erschwert es, die genauen Aktionen des Angreifers in den Server-Protokolldateien nachzuvollziehen.
Piet Kerkhofs, CTO von Eye Security, erklärte, dass diese Methode „vermeidet, dass Befehle direkt im Protokoll erscheinen“. Da der Proof-of-Concept-Exploit bereits vor einigen Tagen veröffentlicht wurde, hatten Angreifer genügend Zeit, ihre Angriffe vorzubereiten und zu starten.
Technische Ursache und Microsofts Reaktion
Die Wurzel des Problems liegt in einer als „unsichere Deserialisierung“ bekannten Programmierpraxis. Konkret betrifft es die Verarbeitung von sogenannten `AuthorizationCookie`-Objekten, die an einen bestimmten Endpunkt des WSUS-Dienstes gesendet werden. Die Daten in diesem Cookie werden entschlüsselt und über eine veraltete Methode namens `BinaryFormatter` verarbeitet, ohne die Daten ausreichend zu validieren.
Microsoft selbst hat Entwicklern bereits vor Jahren empfohlen, die Verwendung von `BinaryFormatter` einzustellen, da die Methode bei der Verarbeitung von nicht vertrauenswürdigen Eingaben als unsicher gilt.
Interessanterweise hatte Microsoft bereits im Rahmen des regulären Patch Tuesday in der Vorwoche ein Update für diese Lücke veröffentlicht. Wie das Unternehmen jedoch einräumte, hat diese erste Version das Problem nicht vollständig behoben. Ein Sprecher erklärte: „Wir haben dieses CVE erneut veröffentlicht, nachdem wir festgestellt hatten, dass das ursprüngliche Update das Problem nicht vollständig entschärft hat.“
Was ist WSUS?
Der Windows Server Update Service (WSUS) ist eine Serverrolle in Windows Server, die es Administratoren ermöglicht, die Verteilung von Updates, die über Microsoft Update veröffentlicht werden, in einem Unternehmensnetzwerk zu verwalten. Anstatt dass jeder Computer einzeln Updates von Microsoft herunterlädt, können sie zentral von einem lokalen WSUS-Server bezogen werden. Dies spart Bandbreite und gibt Administratoren die Kontrolle darüber, welche Updates wann installiert werden.
Handlungsempfehlungen für Administratoren
Aufgrund der aktiven Ausnutzung und der hohen Kritikalität der Schwachstelle ist schnelles Handeln unerlässlich. Die US-amerikanische Cybersicherheitsbehörde CISA hat CVE-2025-59287 bereits in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen und fordert US-Bundesbehörden auf, die Lücke bis zum 14. November 2025 zu schließen.
Für Administratoren gibt es klare Handlungsschritte:
- Update installieren: Die primäre und empfohlene Maßnahme ist die sofortige Installation des von Microsoft bereitgestellten außerplanmäßigen Sicherheitsupdates. Nach der Installation ist ein Neustart des Systems erforderlich.
- WSUS-Rolle deaktivieren: Wenn der Server die WSUS-Funktionalität nicht benötigt, kann die Serverrolle als vorübergehende oder dauerhafte Lösung deaktiviert werden.
- Firewall-Regeln anpassen: Falls das Update nicht sofort installiert werden kann, empfiehlt Microsoft, den eingehenden Netzwerkverkehr zu den Ports 8530 und 8531 auf der Host-Firewall zu blockieren.
Microsoft warnt eindringlich davor, diese alternativen Schutzmaßnahmen aufzuheben, bevor das Sicherheitsupdate vollständig installiert und der Server neu gestartet wurde. Kunden, die bereits das neueste Update installiert haben, sind laut Microsoft geschützt.
