[English]Es gibt ein Out-of-Band Update KB5070883 für Windows Server 2019 (Ergänzung: Es sind wohl weitere OOB-Updates für weitere Server-Editionen freigegeben worden), welche Microsoft zum 23. Oktober 2025 bereitgestellt hat. Ziel dieser Notfall-Updates ist es, eine kritische Schwachstelle in WSUS zu schließen. Die Remote Execution-Schwachstelle CVE-2025-59287 wurde mit einem CVSS-Score von 9.8 bewertet. Administratoren sollten handeln.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Leserhinweis auf Out-of-Band Update KB5070883
Markus K. hatte mich heute bereits per E-Mail mit den Worten "OOB für WSUS, ist mir gerade unter gekommen: KB5070883. Dürfte wohl eher zeitkritisch sein, wenn das als OOB daher kommt." informiert.
Microsoft hat zum 23. Oktober 2025 das Out-of-Band Update KB5070883 für Windows Server 2019 veröffentlicht. Im Supportbeitrag heißt es, dass dieses Out-of-Band-Update Korrekturen und Qualitätsverbesserungen enthält, die Teil des Updates KB5066586 sind, welches bereits am 14. Oktober 2025 für Windows Server 2019 freigegeben wurde.
Konkret schreibt Microsoft unter "[Windows Server Update Services (WSUS)]", dass das Update eine Sicherheitslücke in Bezug auf die Remote-Codeausführung (RCE) behebt, die in den WSUS-Berichtswebdiensten identifiziert wurde. Weitere Informationen zur Sicherheitskorrektur finden sich unter CVE-2025-59287. Bei Systemen, auf denen frühere Updates installiert sind, werden nur die neuen Updates aus obigem Paket heruntergeladen und installiert, die dort noch nicht vorhanden sind (ist ja kumulativ).
Als bekanntes Problem heißt es, dass der WSUS nach der Installation dieses Updates oder späterer Updates keine Details zu Synchronisierungsfehlern in seinen Fehlerberichten anzeigt. Diese Funktion wurde vorübergehend entfernt, um die Sicherheitslücke "Remote Code Execution Vulnerability, CVE-2025-59287" zu beheben.
Weitere OOB-Updates für Windows Server
Inzwischen ist klar, dass Microsoft für alle im Support befindlichen Windows Server-Versionen ein Out-of-Band-Update veröffentlicht hat. Hier die Liste der freigegebenen OOB-Updates.
- Windows Server 2025 (KB5070881)
- Windows Server Version 23H2 (KB5070881)
- Windows Server 2022 (KB5070884)
- Windows Server 2019 (KB5070883)
- Windows Server 2016 (KB5070882)
- Windows Server 2012 R2 (KB55070886)
- Windows Server 2012 ESU (KB5070887)
WSUS RCE-Schwachstelle CVE-2025-59287
So ganz klar wird nicht, warum Microsoft nun das Out-of-Band Update KB5070883 für Windows Server 2019 (und die restlichen Server-Versionen) veröffentlicht hat. Mir ist bereits zum 22. Oktober 2025 der nachfolgende Tweet zur Remote Execution-Schwachstelle CVE-2025-59287 in WSUS untergekommen.
Der Verfasser des Tweets hat die Details in diesem Blog-Beitrag veröffentlicht. Bei CVE-2025-59287 handelt es sich um eine RCE-Schwachstelle, die durch Deserialisierung nicht vertrauenswürdiger Daten im Windows Server Update Service es einem nicht autorisierten Angreifer ermöglicht, Code über ein Netzwerk auszuführen.
Die Schwachstelle wurde mit einem CVSS 3.1 Score von 9.8 bewertet. Das BSI hat diese aktuelle Warnung (Kritikalität 2, Warnstufe Gelb) dazu herausgegeben, das Update sollte also zeitnah installiert werden. Hintergrund ist nach meiner Einschätzung der obige PoC.
Ab dieser Stelle wird es dann aber etwas intransparent, denn von der obigen Schwachstelle sind alle Windows Server-Versionen, auf denen WSUS als Rolle installiert ist, betroffen. Andererseits gibt Microsoft bei CVE-2025-59287 (wo sich eine ausführliche FAQ befindet) an, die Schwachstelle zum 14. Oktober 2025 in allen Windows Server-Versionen von Server 2012 bis Server 2025 gepatcht zu haben.
Schwachstelle wird ausgenutzt
Kleine Ergänzung: Die Schwachstelle betrifft nur Server, auf denen WSUS als Rolle installiert wird – obwohl das Update auf allen Servern angeboten und installiert wird. Inzwischen ist klar, warum es ein Out-of-Band-Update gegeben hat. Die am 14. Oktober 2025 gepatchte Schwachstelle wurde mit den Updates vom 23. Oktober 2025 wohl nachgeschärft. Hintergrund ist, dass nach Veröffentlichung des Proof of Concepts Angriffe auf ungepatchte WSUS-Instanzen laufen, wie Bleeping Computer hier mitteilt.
Ähnliche Artikel:
Microsoft Security Update Summary (14. Oktober 2025)
Patchday: Windows 10/11 Updates (14. Oktober 2025)
Patchday: Windows Server-Updates (14. Oktober 2025)
Patchday: Microsoft Office Updates (14. Oktober 2025)
Exchange Server Sicherheitsupdates Oktober 2025
Windows 10 22H2/Windows 11 23H2: Preview Updates (23./25./29 September 2025)
September 2025-Update KB5065426 verursacht Probleme mit großen AD-Umgebungen
Windows 11 24H2/25H2: Localhost-Probleme nach Oktober 2025-Update KB5066835
MVP: 2013 – 2016
der patch wird auf allen servern angeboten – egal ob WSUS rolle drauf ist oder nicht.
Verstehe ich es daher richtig, dass somit nur Server mit diesem Patch zu aktualisieren sind, bei denen die WSUS-Rolle aktiviert ist?
das weiss nur microsoft. nach dem es alle Server angeboten bekommen haben wir es halt mal überall installiert.
Geh mal davon aus, dass der Fix Teil des regulären kumulativen Sicherheitsupdate des nächsten Patchdays wird und spätestens dann auf allen Servern landet. Du kannst den OOB-Patch jetzt auf allen Servern installieren, sofort brauchen tut ihn aber nur der WSUS. Ist auch logisch, denn du könntest ja einen neuen Server aufsetzen, updaten und dann die WSUS Rolle einrichten. Ohne den neuen Patch wäre der dann sofort verwundbar für die Lücke.
Steht auch so in der verlinkten CVE drin.
Installiert ihr den Patch auf allen Servern ?
wenn das BSI eine Warnung raus gibt, sollte man installieren, auch wenn kein WSUS werkelt, siehe auch den Kommentar hier.
Die Lücke wird bereits ausgenutzt! Also ja sollte man tun ;-P oder eben im Nachgang wieder rumheulen!
Ja
Hat jemand eine verlässliche Quelle, ob das Update aus sicherheitstechnischer Sicht, auch dringend auf Servern installiert werden muss, die keine WSUS Rolle installiert haben?
Viele Grüße
Armin
"The WSUS Sever Role is not enabled by default on Windows servers. Windows servers that do not have the WSUS server role enabled are not vulnerable to this vulnerability. If the WSUS server role is enabled, the server will become vulnerable if the fix is not installed before the WSUS server role is enabled."
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287
Danke!
Da der Fehler in der WSUS Komponente steckt sind Server ohne WSUS Rolle hiervon nicht betroffen. Schreibt MS auch in dem verlinkten CVE-Eintrag unter "Mitigations".
Ich gehe auch davon aus, dass der Fix auch im nächsten Kumulativen Update landen wird, aber so lange wollten die jetzt wohl nicht warten, daher das OOB-Update.
@Günter Born
Der Patch ist für Server 2016, 2019, 2022 und 2025, und AFAIR auch für Server 2012R2.
Ganz unten sind die betroffenen Produkte aufgeführt:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287
@Daniel A.
Auch wenn der WSUS derzeit nicht installiert sein sollte, ist der Server spätestens dann betroffen, wenn man die Rolle später installiert. Ist dann der Patch NICHT installiert, hat man die Lücke eingekauft.
Patch lief ohne Probleme auf Server 2016(WSUS) durch.
Kann den Patch nicht ausrollen da sonst das localhost Problem ins Haus hole. Für das localhost gibt es immer noch keine Lösung seitens Microsoft.
Habe connected Cache im Einsatz. WSUS wird nicht mehr installiert werden
Betrifft das nicht nur Windows 11? Ich denke nicht, dass du da den WSUS drauf laufen hast.
Für das localhost-Problem gibt es einen KIR (known issue rollback).
Nach dem WSUS-Sync von letzter Nacht sind auch bei uns die Updates eingetroffen.
Die Updates für alle Server sind kumulativ, ersetzen also das letzte CU bzw. Sicherheitsupdate vom 14.10.2025.
Wie bereits erwähnt sind Windows-Server, auf denen die WSUS-Rolle nicht aktiviert ist, von dieser Sicherheitslücke nicht betroffen.
Microsoft empfiehlt trotzdem das OOB Update anstatt dem Sicherheitspatch von Oktober zu installieren.
@Microsoft:
Warum wird das Update als CU für alle Server angeboten, wenn nur Server mit aktivierter WSUS-Rolle betroffen sind?
Warum nicht ein separates (abgespecktes) Sicherheitsupdate, welches dann nur von den Servern mit aktivierter WSUS-Rolle angefordert wird?
Muss da mal die KI befragen… 😇
Weil du auf jedem Windows Server die WSUS Rolle nachträglich installieren könntest. Es werden die Sourcen gepatcht.
Bei uns listet der M365 Defender alle Server (egal ob WSUS-Rolle installiert oder nicht) für die genannte CVE. Alle unsere Server beziehen ihre Updates über unseren WSUS.
Leider wird immernoch nicht ganz klar, ob nur Server mit WSUS-Rolle betroffen sind oder alle Server, die WSUS nutzen.
Nur die Server mit WSUS-Rolle sind betroffen!
Siehe auch Kommentar von Carsten.
Da die Updates kumulativ sind und das letzte CU bzw. Sicherheitsupdate vom 14.10.2025 ersetzen, werden sie auch von allen Servern angefordert, egal ob WSUS-Rolle aktiviert oder nicht aktiviert.
Das war auch die Kritik in meinem Beitrag, warum MS es nicht gebacken bekommt ein separates Update (anstatt CU) auszuliefern.
Schlechte Nachrichten:
Das Notfall-Update KB5070882 für Server 2016 hat WinSxS beschädigt.
Fehlerkode: 0x8000ffff (E_UNEXPECTED)
Danach Reparatur ausgeführt mit Kommando:
DISM.exe /Online /Cleanup-Image /RestoreHealth /Source:%source% /LimitAccess
Ergebnis: KB5066836 fliegt raus. KB5066836 erneut installiert. WinSxS wieder Ok.
Probleme mit Windows Server 2016 beim Einspielen des Updates werden auch in den Kommentaren auf heise online moniert, siehe:
https://www.heise.de/forum/heise-online/Kommentare/Microsoft-WSUS-Notfallupdate-stopft-kritische-Codeschmuggel-Luecke/Re-Installation-von-KB5070882-unter-Server-2016-schaegt-fehl/posting-45663382/show/
Ich selbst kann das nicht beurteilen, da Windows Server 2016 bei uns nicht mehr eingesetzt wird.
Kann ich hier nicht bestätigen. Lief ohne Probleme durch auf Server 2016.
Auf 2019 problemlos installierbar.
Hallo Günter,
in meiner Labor-Umgebung mit WSUS auf Server 2025 (Build 26100.6899) wird das Update KB5070881 angeboten, kann aber vom WSUS nicht herunter geladen werden.
Teste jetzt mal den manuellen Download über den Update-Catalog.
Dort sind nach Aufruf der KB zwei Downloads:
kb5043080, knappe 530 MB, und das kb5070881 mit knapp 3,5 GB! die der Reihe nach installiert werden müssen.
Für alle Server ab 2012 gibt es Patches (Quelle: deskmodder)
Betroffen von der Lücke im WSUS sind:
Windows Server 2025 (KB5070881)
Windows Server, version 23H2 (KB5070879)
Windows Server 2022 (KB5070884)
Windows Server 2019 (KB5070883)
Windows Server 2016 (KB5070882)
Windows Server 2012 R2 (KB5070886)
Windows Server 2012 (KB5070887)
Mal schauen, ob sich die Patches anstandslos installieren lassen.
VG Lutz
Auf MS Windows Server 2022 (physikalische Maschine) installiert. Bislang keine Fehler feststellbar.
Habe gerade ein Server 2019 neu aufgesetzt – das Update KB5070883 hat das reguläre Update KB5066586 komplett ersetzt (es wird gar nicht mehr bei den zu installierenden Updates angeboten).
Daher würde ich es auch auf allen Servern ausrollen.
Ich habe gerade das KB5070882 auf unserem WSUS Server (Server 2016) installiert. Soweit keine Probleme, aber die Version vom angeblich betroffenen WSUS ist vorher die 10.0.14393.4046 gewesen und hinterher auch. Also keine Änderung zu erkennen.