Microsoft hat am frühen Freitagmorgen ein Update außer der Reihe für die Windows Server Update Services (WSUS) veröffentlicht. Es schließt laut Microsoft eine kritische Sicherheitslücke korrekt, durch die Angreifer Schadocde einschleusen und ausführen können. Ein Proof-of-Concept-Exploit ist den Redmondern zufolge inzwischen aufgetaucht. Admins sollten daher zügig handeln und den neuen Patch anwenden.
Darauf weist ein Eintrag in Windows-Release-Health-Message-Center von 4 Uhr mitteleuropäischer Sommerzeit am Freitagmorgen hin. "Microsoft hat eine Remote-Code-Execution-Schwachstelle (RCE) im Berichtswebdienst der Windows Server Update Services (WSUS) entdeckt", schreiben die Entwickler dort. "Ein Update-außer-der Reihe (Out-of-band, OOB) wurde am 23. Oktober veröffentlicht, um das Problem anzugehen" – durch die Zeitverschiebung ist es zum Meldungszeitpunkt an der Pazifikküste der USA noch Donnerstag. Microsoft führt weiter aus: "Es handelt sich um ein kumulatives Update. [..] Sofern Sie die Windows-Sicherheitsupdates aus dem Oktober noch nicht installiert haben, empfehlen wir, das Update-außer-der-Reihe stattdessen zu anzuwenden." Nach der Aktualisierung ist ein Neustart erforderlich.
Angriff ohne vorherige Authentifizierung möglich
Microsoft hat zum Oktober-Patchday bereits einen Softwareflicken zum Schließen der Lücke veröffentlicht. Die Beschreibung der Schwachstelle lautet: "Die Deserialisierung nicht vertrauenswürdiger Daten im Windows Server Update Service ermöglicht es einem nicht autorisierten Angreifer, Code über ein Netzwerk auszuführen" (CVE-2025-59287, CVSS 9.8, Risiko "kritisch").
Die Entwickler schreiben dort im Widerspruch zum Eintrag im Message Center, dass zum vollständigen Korrigieren der Schwachstelle Kunden mit Windows-Servern das Update-außer-der-Reihe anwenden sollen. Sie nennen auch einen Workaround, der unbedingt bis zur Installation der Updates angewendet werden sollte: Entweder deaktivieren Admins den WSUS, oder sie blockieren den Zugriff auf dessen Ports 8530 und 8531 auf der Host-Firewall und machen ihn so unerreichbar.
Das Update steht für diverse Server zur Verfügung:
- Windows Server 2025 (KB5070881)
- Windows Server, version 23H2 (KB5070879)
- Windows Server 2022 (KB5070884)
- Windows Server 2019 (KB5070883)
- Windows Server 2016 (KB5070882)
- Windows Server 2012 R2 (KB5070886)
- Windows Server 2012 (KB5070887)
Es handelt sich bereits um das zweite ungeplante Update im Oktober. Am Dienstag hat Microsoft ein Update außer der Reihe veröffentlicht, das ein Problem mit der Windows-Wiederherstellungsumgebung korrigiert. Die ließ sich nach den Sicherheitspatches vom Oktober nicht mehr mit USB-Tastaturen und -Mäusen bedienen.
(dmk)
English (US) ·