Microsoft WSUS Notfallupdate

Am Freitagmorgen veröffentlichte Microsoft ein außerplanmäßiges sogenanntes „Out-of-Band“-Update für den Windows Server Update Services (WSUS)-Dienst. Grund: Eine kritische Sicherheitslücke, die laut Microsoft eine Remote-Code-Execution (RCE) erlaubt – und bereits aktiv ausgenutzt wird.

Was steckt hinter der Schwachstelle?

Die Lücke trägt die Kennung CVE-2025-59287 und ist mit einem CVSS-Wert von 9.8 – „kritisch“ bewertet.

Konkret geht es darum, dass WSUS-Instanzen im Modul „Berichtswebdienst“ nicht vertrauenswürdige Daten verarbeiten – ein Angreifer kann dadurch ohne vorherige Authentifizierung über das Netzwerk Schadcode einschleusen und ausführen.

Der Exploit-Code soll demnach bereits „live“ sein, so ein Hinweis des Sicherheitsforschers Kevin Beaumont.

Warum ist das gefährlich – besonders für Unternehmen?

• Viele Organisationen betreiben WSUS als Teil ihrer Patch- und Updateinfrastruktur – ein kompromittierter WSUS kann daher als Dreh- und Angelpunkt für grössere Angriffe dienen.
• Da eine Ausnutzung ohne Anmeldung möglich ist, reichen bereits offene Ports oder fehlerhafte Zugangsbeschränkungen aus – der Angreifer braucht keine legitimen Zugangsdaten.
• Die Tatsache, dass Microsoft ein Notfall-Update veröffentlicht hat, zeigt, wie dringend gehandelt werden muss.
• Der Angriff kann nicht nur Schadsoftware einschleusen, sondern auch als Sprungbrett für lateral-bewegte Angriffe („east-west“) innerhalb der Infrastruktur dienen.

Welche Systeme sind betroffen?

Laut Microsoft betrifft das Update diverse Windows Server-Versionen:

• Windows Server 2025 – KB5070881
• Windows Server Version 23H2 – KB5070879
• Windows Server 2022 – KB5070884
• Windows Server 2019 – KB5070883
• Windows Server 2016 – KB5070882
• Windows Server 2012 R2 – KB5070886
• Windows Server 2012 – KB5070887

Wenn Ihre WSUS-Umgebung oder verlinkte Clients eine dieser Versionen einsetzen, ist Dringlichkeit geboten.

Sofortige Gegenmassnahmen – Ihre To-Do-Liste

1. Patchen Sie umgehend Ihre WSUS-Server mit dem veröffentlichten Update. Ein Neustart ist erforderlich.
2. Falls Sie das Update noch nicht einspielen können:
   - Blockieren Sie den Zugriff auf WSUS-Ports 8530 und 8531 auf der Host-Firewall.
   - Oder deaktivieren Sie temporär WSUS, bis das Update installiert ist.
3. Überprüfen Sie Ihre Netzwerk-Logfiles auf ungewöhnliche Verbindungsversuche oder Datenpakete zu den genannten Ports.
4. Segmentieren Sie Ihre WSUS-Instanz in Zukunft stärker durch Netzwerk-Zugangskontrollen und Port-Restriktionen – vermeiden Sie offene Zugänge aus dem Internet.
5. Dokumentieren & kommunizieren: Stellen Sie sicher, dass Ihr IT-Security-Team und alle verantwortlichen Admins die Lage verstehen und entsprechend handeln.

Fazit

Die Schwachstelle CVE-2025-59287 in WSUS ist ein typisches Beispiel dafür, wie eine vermeintlich zentrale Infrastrukturkomponente zum Einfallstor für Angriffe werden kann. Dass Microsoft bereits aktiv ausgelegte Exploits beobachtet und ausserplanmässig handelt, verdeutlicht die Schwere. Für Unternehmen gilt: Jetzt handeln! Jede Minute Verzögerung erhöht das Risiko.

Sprechen Sie uns für weitere Details gerne direkt an oder wenden Sie sich formlos an hallo@enthus.de.