{"id":317625,"date":"2025-10-30T00:13:21","date_gmt":"2025-10-29T23:13:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=317625"},"modified":"2025-10-29T23:42:51","modified_gmt":"2025-10-29T22:42:51","slug":"wsus-schwachstelle-cve-2025-59287-wird-angegriffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/10\/30\/wsus-schwachstelle-cve-2025-59287-wird-angegriffen\/","title":{"rendered":"WSUS-Schwachstelle CVE-2025-59287 wird angegriffen"},"content":{"rendered":"

\"SicherheitZum 23. Oktober 2025 hat Microsoft Out-of-Band-Updates f\u00fcr den Windows Server Update Services (WSUS<\/em>) ver\u00f6ffentlicht. Die Updates patchen den WSUS um die Schwachstelle CVE-2025-59287 weiter abzusichern. Inzwischen mehren sich die Angriffe auf diese WSUS-Sicherheitsl\u00fccke.<\/p>\n

<\/p>\n

Out-of-Band-Updates f\u00fcr WSUS<\/h2>\n

\"\"Microsoft hatte zum 23. Oktober 2025 Out-of-Band-Updates f\u00fcr Windows freigegeben (siehe\u00a0Windows Server: Out-of-Band Updates f\u00fcr WSUS-Schwachstelle CVE-2025-59287 (23.10.2025)<\/a>). Ziel dieser Notfall-Updates ist es, eine kritische Remote Execution-Schwachstelle CVE-2025-59287 in WSUS zu schlie\u00dfen. Diese wurde mit einem CVSS-Score von 9.8 bewertet. Mir ist bis heute unklar, was genau durch die Out-of-Band-Updates absichern. Denn Microsoft gibt bei CVE-2025-59287<\/a> (wo sich eine ausf\u00fchrliche FAQ befindet) an, die Schwachstelle zum 14. Oktober 2025 in allen Windows Server-Versionen von Server 2012 bis Server 2025 bereits gepatcht zu haben.<\/p>\n

Angriffe auf den WSUS nehmen zu<\/h2>\n

Bereits im Beitrag Windows Server: Out-of-Band Updates f\u00fcr WSUS-Schwachstelle CVE-2025-59287 (23.10.2025)<\/a> hatte ich in einer Nachtragsbemerkung geschrieben, dass die RCE-Schwachstelle CVE-2025-59287 in WSUS angegriffen wird. Auch das BSI hatte eine Warnung<\/a> (Kritikalit\u00e4t 2, Warnstufe Gelb) dazu herausgegeben und empfohlen, die Updates zeitnah einzuspielen.<\/p>\n

\"Angriffe<\/p>\n

Inzwischen warnt auch die Unit 42 von Palo Alto Networks in obigem Tweet<\/a> und im Artikel\u00a0Microsoft WSUS Remote Code Execution (CVE-2025-59287) Actively Exploited in the Wild (Updated October 28)<\/a>, dass die Schwachstelle inzwischen aktiv ausgenutzt bzw. angegriffen werde. The Register schreibt hier<\/a>, Trend Micro in den letzten sieben Tagen auf Basis der Telemetriedaten etwa 100.000 Zugriffsversuche zur Ausnutzung dieser Schwachstelle festgestellt habe.\u00a0Dustin Childs, Leiter der Zero Day Initiative von Trend Micro sagt:<\/p>\n

Unsere Scans zeigen, dass knapp 500.000 mit dem Internet verbundene Server den WSUS-Dienst aktiviert haben. Aufgrund der Art des Fehlers gehen wir davon aus, dass fast jeder betroffene Server irgendwann angegriffen wird. Die Angriffe, die wir beobachten, scheinen jedoch wahllos zu sein und nicht auf einen bestimmten Sektor oder eine bestimmte Region abzuzielen. Wir gehen auch davon aus, dass die Anzahl der Angriffe mit der Zeit zunehmen wird, sofern keine Patches und andere Abhilfema\u00dfnahmen implementiert werden.<\/p><\/blockquote>\n

The Shadow Server Foundation weist in nachfolgendem Tweet<\/a> ebenfalls auf Versuche zur Ausnutzung der Schwachstelle auf Grund eines Proof of Concept (PoC)\u00a0 hin.<\/p>\n

\"WSUS-Server<\/a><\/p>\n

Die Gruppe hat damit begonnen, exponierte WSUS-Instanzen (Ports 8530\/8531) zu identifizieren, wobei am 25.10.2025 mindestens 2800 Instanzen festgestellt wurden (die nicht unbedingt anf\u00e4llig sind). Aktuell habe ich beim Schreiben des Beitrags auf dieser Seite<\/a> 72 WSUS-Instanzen in Deutschland gefunden, die \u00fcber obige Ports erreichbar sind.<\/p>\n","protected":false},"excerpt":{"rendered":"

Zum 23. Oktober 2025 hat Microsoft Out-of-Band-Updates f\u00fcr den Windows Server Update Services (WSUS) ver\u00f6ffentlicht. Die Updates patchen den WSUS um die Schwachstelle CVE-2025-59287 weiter abzusichern. Inzwischen mehren sich die Angriffe auf diese WSUS-Sicherheitsl\u00fccke.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185,301,2557],"tags":[4328,3288,881],"class_list":["post-317625","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","category-windows","category-windows-server","tag-sicherheit","tag-windows-en","tag-wsus"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/317625","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=317625"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/317625\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=317625"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=317625"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=317625"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}