CVE-2025-59287: Kritischer RCE in Windows Server Update Services (WSUS)

Beschreibung und Kontext

• Name und Klasse: CVE-2025-59287
• Typologie: Unbefugte Remotecodeausführung (RCE) über unsichere Deserialisierung nicht vertrauenswürdiger Daten in der WSUS-Komponente.
• Schweregrad / CVSS-Wert: 9.8 (kritisch)
• Betroffene Produkte: Microsoft Windows Server mit aktivierter WSUS-Rolle in den Versionen 2012, 2012 R2, 2016, 2019, 2022 (einschließlich Edition 23H2) und 2025 (bis zu anfälligen Builds).
• Auslösebedingung: Die Schwachstelle ist nur relevant, wenn die WSUS-Server-Rolle aktiviert ist (standardmäßig nicht aktiviert).
• Angriffsmodus: Der Angreifer sendet speziell konstruierte Anfragen an WSUS-Endpunkte, die die Deserialisierung von AuthorizationCookie-Objekten (oder über den ReportingWebService mit SoapFormatter) ohne ordnungsgemäße Validierung auslösen, wodurch beliebiger Code mit Systemprivilegien ausgeführt werden kann.

Angriffsmechanismus (Kette)

1. Der Angreifer sendet eine HTTP-Anfrage (POST) an WSUS-Endpunkte wie /SimpleAuthWebService/SimpleAuth.asmx oder /ReportingWebService/ReportingWebService.asmx, die bösartige serialisierte Daten enthält.
2. Der WSUS-Server deserialisiert die Daten (unter Verwendung von BinaryFormatter/SoapFormatter) ohne Prüfung und generiert das bösartige Objekt, das eine Befehlsausführungslogik enthalten kann.
3. Der injizierte Code kann Prozesse wie cmd.exe oder powershell.exe aktivieren, Aufklärungsoperationen durchführen, Konfigurations- oder Netzwerkdaten exportieren und mit Command-and-Control-Servern (C2) kommunizieren.
4. Wenn der WSUS-Server kompromittiert ist, kann der Angreifer seine zentrale Position missbrauchen, um bösartige Updates zu verteilen oder den Zugriff auf andere Systeme in der Umgebung auszuweiten.

Huntress beobachtete bereits wenige Stunden nach der Veröffentlichung des Out-of-Band-Patches aktive Angriffe mit Anfragen an exponierte WSUS-Server (Ports 8530 / 8531) und die Verwendung von Base64-kodierten Nutzdaten.

Auswirkungen und Risiken

• Ausführung von Code mit SYSTEM-Rechten auf kompromittierten WSUS-Servern
• Umfassende Netzwerkkompromittierung durch Pivotisierung, Verteilung infizierter Updates, Lateral Movement
• Entdeckung und Exfiltration sensibler Informationen, Anmeldeinformationen und Netzwerkkonfigurationen
• Hohes Betriebsrisiko, da WSUS ein zentraler Punkt für die Verwaltung von Microsoft-Updates ist
• Von der CISA im Katalog "Known Exploited Vulnerabilities" aufgeführt - Patching-Anforderungen für viele US-Bundesorganisationen

Abhilfemaßnahmen und Lösungen

Offizielle Patches

Microsoft hat am 23. Oktober 2025 Out-of-Band-Updates veröffentlicht, um CVE-2025-59287 dauerhaft zu beheben.

Zum Beispiel:

• Windows Server 2025: KB5070881
• Windows Server 2016 → KB5070882
• Andere entsprechende Updates für betroffene Versionen (2012, 2019, 2022, etc.)

Hinweis: Nach der Anwendung wird die Funktion zur Anzeige von Details zur Fehlersynchronisierung im WSUS-Dienst vorübergehend entfernt, um die Sicherheitslücke zu entschärfen.

Vorübergehende Gegenmaßnahmen (wenn das Patching nicht sofort erfolgt)

• Deaktivieren Sie die WSUS-Server-Rolle auf den anfälligen Systemen, um die Exposition des Dienstes zu beseitigen
• Blockieren Sie den eingehenden Zugriff (Firewall) auf die TCP-Ports 8530 (HTTP) und 8531 (HTTPS) auf WSUS-Servern
• Isolieren Sie WSUS-Server innerhalb von Netzwerksegmenten, die nicht direkt mit dem öffentlichen Internet verbunden sind.
• Überwachen der Protokolle auf verdächtige Anfragen in WSUS-Webdiensten (POSTs an ReportingWebService-Endpunkte, SimpleAuthWebService), vom Webprozess/WSUS generierte cmd-/Powershell-Befehle

Allgemeine Empfehlungen

• Bewerten Sie die öffentliche Exposition von WSUS-Servern und reduzieren Sie die Angriffsfläche
• Überprüfen Sie Netzwerkkonfigurationen mit restriktiven Zugriffskontrollen
• Durchführung von Schwachstellen-Scans (z. B. Nessus-Plugin) zur Ermittlung fehlender gepatchter Systeme (z. B. Plugin 271440 im Zusammenhang mit KB5070881)
• Vorbereitung von Notfallplänen für den Fall einer Kompromittierung
• Prüfen Sie, ob der Patch korrekt angewendet und das System neu gestartet wurde.

Schlussfolgerung

CVE-2025-59287 stellt eine kritische Sicherheitslücke dar, die eine wesentliche Infrastrukturkomponente für die Microsoft-Update-Verwaltung betrifft. Angesichts der Einfachheit des Angriffs (keine Authentifizierung erforderlich) und der möglichen Auswirkungen ist es wichtig, dass Systemadministratoren und Cybersicherheitsteams

1. Überprüfen, auf welchen Servern in ihrer Infrastruktur die WSUS-Rolle aktiv ist
2. Microsoft Out-of-Band-Patches sofort anwenden
3. Wenn ein Patching nicht sofort möglich ist, deaktivieren oder blockieren Sie den WSUS-Zugang umgehend.
4. Überwachen Sie verdächtiges Verhalten und bereiten Sie sich darauf vor, auf Vorfälle zu reagieren.

Referenzen

1. https://www.techradar.com/pro/security/microsoft-issues-emergency-windows-server-security-patch-update-now-or-risk-attack?utm_source=chatgpt.com
2. https://www.itpro.com/security/cisa-issues-alert-after-botched-windows-server-patch-exposes-critical-flaw?utm_source=chatgpt.com

SOC