Dringend patchen: Hacker attackieren Windows-Server über kritische WSUS-Lücke
Microsoft hat kurz vor dem Wochenende Notfallupdates für Windows-Server-Systeme veröffentlicht, die eine kritische Sicherheitslücke in den Windows Server Update Services (WSUS) schließen. Sicherheitsforscher warnen zudem, dass die Lücke bereits aktiv ausgenutzt wird. Administratoren sollten daher zügig handeln und die bereitgestellten Patches schnellstmöglich einspielen.
Bei der besagten Sicherheitslücke handelt es sich um CVE-2025-59287(öffnet im neuen Fenster) . Mit einem CVSS-Wert von 9,8 ist sie als kritisch eingestuft. Angreifer können die Lücke aus der Ferne und ohne vorherige Authentifizierung ausnutzen, um auf anfälligen Systemen eigenen Code zur Ausführung zu bringen. Die Angriffskomplexität ist dabei gering.
"Ein entfernter, nicht authentifizierter Angreifer könnte ein manipuliertes Ereignis senden, das eine unsichere Objektdeserialisierung in einem veralteten Serialisierungsmechanismus auslöst" , erklärt Microsoft bezüglich des Angriffsvektors. Nach Angaben des Sicherheitsforschers Kevin Beaumont(öffnet im neuen Fenster) ist es damit unter anderem möglich, manipulierte Updates an Windows-Clients zu verteilen.
Die zweitmeisten Instanzen in Deutschland
Besonders gefährdet sind all jene WSUS-Instanzen, die direkt über das Internet erreichbar sind. Den Scans der Shadowserver Foundation(öffnet im neuen Fenster) zufolge gibt es davon weltweit etwa 2.800 Stück. Die meisten stehen mit einer Anzahl von 786 in den USA. Auf Platz 2 folgt Deutschland(öffnet im neuen Fenster) mit 288 Instanzen, gefolgt von China (155), Frankreich (150), dem Vereinigten Königreich (146) und den Niederlanden (99).
Microsoft selbst warnt zwar noch nicht vor einer aktiven Ausnutzung, sehr wohl aber davor, dass eine solche "eher wahrscheinlich" ist und ein Exploit-Code zur Ausnutzung von CVE-2025-59287 bereits öffentlich verfügbar(öffnet im neuen Fenster) ist. Sicherheitsforscher von Huntress(öffnet im neuen Fenster) und Eye Security(öffnet im neuen Fenster) wollen aber auch schon entsprechende Angriffe beobachtet haben.
Administratoren, die die am Freitag veröffentlichten Out-of-Band-Updates(öffnet im neuen Fenster) noch nicht installiert haben, sollten dies also dringend nachholen. Verfügbar sind die Patches für alle gängigen Versionen von Windows Server 2025, 2022, 2019, 2016 und 2012 (R2). Die jeweiligen Download-Links sind in Microsofts Security Advisory(öffnet im neuen Fenster) aufgelistet.
Wer das Update noch nicht einspielen kann, sollte laut Microsoft die WSUS-Serverrolle vorerst deaktivieren oder eingehenden Traffic auf den Ports 8530 und 8531 per Firewall blocken, bis eine Aktualisierung möglich ist.