Beschreibung
Microsoft hat eine kritische Sicherheitslücke in Windows Server
Update Service (WSUS) veröffentlicht, die es unauthentifizierten
Angreifern ermöglicht, aus der Ferne beliebigen Code auf betroffenen
Servern auszuführen. Die Schwachstelle entsteht durch unsichere
Deserialisierung von nicht vertrauenswürdigen Daten in einem
veralteten Serialisierungsmechanismus. Microsoft hatte hierzu bereits
am 14. Oktober einen ersten Patch veröffentlicht. Dieser erwies sich
allerdings als unzureichend und wurde nun außerplanmäßig [1]
nachgebessert. Ein bereits öffentlich verfügbarer Proof-of-Concept
(PoC) erhöht die Warscheinlichkeit einer Ausnutzung. Berichten [2]
nach werden bereits Angriffe verzeichnet.
CVE-Nummer(n): CVE-2025-59287
CVSS v3.1 Score: 9.8 (Kritisch)
Auswirkungen
Ein nicht authentifizierter Angreifer kann über das Netzwerk speziell
präparierte Ereignisse an den WSUS-Server senden, die eine unsichere
Objekt-Deserialisierung auslösen. Dies führt zur Ausführung von
beliebigem Code mit System-Rechten auf dem betroffenen Server. Da
WSUS-Server zentrale Komponenten in der Patch-Verwaltung von
Windows-Umgebungen darstellen, kann eine erfolgreiche
Kompromittierung weitreichende Auswirkungen auf die gesamte IT-
Infrastruktur haben.
Betroffene Systeme
Alle unterstützten Windows Server Versionen mit aktivierter WSUS
Server-Rolle:
• Windows Server 2012 und 2012 R2
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022
• Windows Server 2022, 23H2 Edition
• Windows Server 2025
Windows Server ohne aktivierte WSUS-Rolle sind nicht betroffen. Die
WSUS-Rolle ist standardmäßig nicht aktiviert.
Abhilfe
Microsoft hat am 23. Oktober 2025 außerplanmäßige Sicherheitsupdates
für alle betroffenen Windows Server Versionen veröffentlicht. Die
Updates [3] sind über Windows Update, Microsoft Update Catalog und
WSUS verfügbar. Nach Installation ist ein Neustart des Systems
erforderlich.
Temporäre Workarounds bis zur Installation des Updates:
1. Deaktivierung der WSUS Server-Rolle (Achtung: Clients erhalten
dann keine Updates mehr vom Server)
2. Blockierung des eingehenden Datenverkehrs auf den Ports 8530 und
8531 in der lokalen Host-Firewall
Hinweis
Die Schwachstelle wird bereits aktiv ausgenutzt. Aufgrund der
Kritikalität und der einfachen Ausnutzbarkeit (kein
Benutzer-Interaktion oder Authentifizierung erforderlich,
Proof-of-Conecpt (PoC) bereits öffentlich verfügbar) empfiehlt
CERT.at die sofortige Installation der bereitgestellten
Sicherheitsupdates. Organisationen sollten ihre WSUS-Server
priorisiert patchen und bis dahin die empfohlenen Workarounds
implementieren.
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
[1] Microsoft Out-of-Band Security Update Announcement (Englisch)
https://learn.microsoft.com/en-us/windows/release-health/windows-message-ce…
[2] Eyesecurity LinkedIn Artikel der aktive Ausnutzung beschreibt
(Englisch)
https://www.linkedin.com/posts/eyesecurity_active-exploitation-of-%F0%9D%97…
[3] Microsoft Security Response Center - CVE-2025-59287 (Englisch)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287
Beschreibung
Oracle hat einen Security Alert zu einer schwerwiegenden Schwachstelle,
CVE-2025-61882, in Oracle E-Business Suite veröffentlicht. Die
Sicherheitslücke erlaubt es Angreifer:innen auf betroffenen Systemen
ohne jedwede Authentifizierung Code auszuführen. Laut Oracle wird die
Lücke bereits aktiv durch Bedrohungsakteure missbraucht.
CVE-Nummer(n): CVE-2025-61882
CVSS Base Score: 9.8
Auswirkungen
Die Ausnutzung der Schwachstelle ermöglicht entfernten,
unauthentifizierten Angreifer:innen die Ausführung von Code und in
weiterer Folge die vollständige Übernahme von verwundbaren Systemen.
Betroffene Systeme
* Oracle E-Business Suite - 12.2.3 - 12.2.14
Abhilfe
Oracle stellt Updates zur Verfügung die das Problem beheben. Weiters
sind Verantwortliche dringend angehalten zu prüfen, ob auf den eigenen
Systemen beziehungsweise in den eigenen Logs die im Security Alert
angeführten IOCs zu finden sind.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Oracle Security Alert Advisory - CVE-2025-61882
https://www.oracle.com/security-alerts/alert-cve-2025-61882.html