Kritische WSUS-Schwachstelle: CVE-2025-59287 aktiv ausgenutzt

Notfallpatch für kritische WSUS-Sicherheitslücke veröffentlicht

Microsoft hat Notfall-Sicherheitsupdates veröffentlicht, um CVE-2025-59287 zu beheben, eine kritische Schwachstelle zur Remote-Code-Ausführung in Windows Server Update Services (WSUS), die bereits aktiv ausgenutzt wird. Die Sicherheitslücke mit einem CVSS-Score von 9,8 ermöglicht nicht authentifizierten Angreifern die Ausführung von beliebigem Code mit SYSTEM-Berechtigungen durch unsichere Objekt-Deserialisierung in WSUS-Servern.

'Unser Morgenkaffee wurde durch eine kritische Warnung vom WSUS-System eines Kunden abrupt unterbrochen,' sagte Bas van den Berg, Sicherheitsforscher bei Eye Security, der als erster die Ausnutzung in der Wildnis dokumentierte. 'Die Warnung wies auf verdächtige Aktivitäten in unserer EDR-Telemetrie hin: whoami.exe wurde ausgeführt, mit w3wp.exe als übergeordnetem Prozess. Dies deutet meist stark auf eine bösartige ASPX-Webshell hin.'

Wie der Exploit funktioniert

Die Schwachstelle befindet sich in der unsicheren Deserialisierung von AuthorizationCookie-Objekten in WSUS's BinaryFormatter. Angreifer können speziell angefertigte Anfragen an den ClientWebService/client.asmx-Endpunkt auf Ports 8530 (HTTP) oder 8531 (HTTPS) senden, um Remote-Code-Ausführung zu aktivieren. Das Sicherheitsunternehmen HawkTrace veröffentlichte technische Details und einen Proof-of-Concept-Exploit am 18. Oktober 2025, der ursprünglich Taschenrechner-Pop-up-Funktionen demonstrierte.

Echte Angreifer haben den Exploit jedoch erheblich verbessert. 'Dies war ganz anders als der POC von HawkTrace und zeigt, dass der Bedrohungsakteur Fähigkeiten hatte, die über die eines Scriptkiddies hinausgehen,' bemerkte van den Berg. Die Angreifer verwendeten eine ysoserial.net Gadget-Kette mit einer eingebetteten PE-Datei, die Befehleingaben von HTTP-Headern entgegennimmt und sie über cmd.exe ausführt.

Nachweis aktiver Ausnutzung

Untersuchungen von Eye Security enthüllten manuelle Erkundung mit Befehlen, die durch Sekunden getrennt waren, was auf manuelle Operationen statt automatisierter Skripte hindeutet. Die Angreifer nutzten den Exploit, um System-Enumerationsbefehle auszuführen und möglicherweise Vorbereitungen für Ransomware-Bereitstellung zu treffen.

Laut CISA hat das US Cybersecurity and Infrastructure Security Agency diese Schwachstelle zu seinem Katalog bekannter ausgenutzter Schwachstellen hinzugefügt und verlangt, dass Bundesbehörden bis spätestens 14. November 2025 Abhilfemaßnahmen ergreifen.

Globale Auswirkungen und Exposition

Erste Internet-Scans zeigten etwa 8.000 WSUS-Server, die dem Internet ausgesetzt sind, von denen viele zu hochwertigen Organisationen gehören. Das niederländische Nationale Cyber Security Centrum (NCSC-NL) hat ebenfalls aktive Ausnutzung in den Niederlanden bestätigt.

'Wir haben die Exploit-Kette reproduziert und mit dem richtigen Aufruf von ysoserial.net konnten wir beliebige Remote-Code-Ausführung erreichen,' betonte van den Berg. 'Die Implikationen sind klar: Dies ist eine ernsthafte Bedrohung, die sofortiges Handeln erfordert.'

Sofortige Empfehlungen

Microsoft hat Patches für alle betroffenen Windows Server-Versionen (2025, 2022, 2019, 2016, 2012 R2 und 2012) über KB5070883 veröffentlicht. Organisationen sollten:

• Den Notfallpatch sofort anwenden und betroffene Systeme neu starten
• Sicherstellen, dass WSUS-Server nicht dem Internet ausgesetzt werden, es sei denn, es ist absolut notwendig
• Moderne EDR-Lösungen mit menschlichen Triage-Fähigkeiten implementieren
• SoftwareDistribution.log auf spezifische Indicators of Compromise überwachen

Für Organisationen, die nicht sofort patchen können, umfassen temporäre Workarounds das Deaktivieren der WSUS-Serverrolle oder das Blockieren von eingehendem Verkehr auf Ports 8530 und 8531, obwohl dies lokale Endpunkte daran hindern wird, Updates zu empfangen.