Noch eine kurze Information für Administratoren, die bereits Windows Server 2025 einsetzen und dabei auch die neue "Hotpatching"-Funktion verwenden. Wer das Notfall-Update KB5070881 zum Schließen der kritischen WSUS-Schwachstelle CVE-2025-59287 installiert hat, muss u.U. auf Hot-Patching verzichten, da es Konflikte gibt. Der Bug dürfte aber Exotenstatus haben.
Windows Server 2025 und das Hotpatching
Kurz zur Erinnerung: Das Hotpatching wird ja von Microsoft wie "der Stein der Weisen" gefeiert. Sowohl Windows 11 24H2 als Client als auch Windows Server 2025 sind mit einer sogenannten Hotpatching-Möglichkeit ausgestattet. Dies gibt Administratoren die Möglichkeit, Neustarts bei der Installation gewisser monatlichen Sicherheitsupdates auszusetzen.
Wer sich für die Details interessiert, den möchte ich auf den Beitrag Windows Server 2025: Hotpatching ab 1. Juli 2025 kostenpflichtig verweisen, der auch gleich klar macht, dass Microsoft für dieses Feature Geld haben will. Ich bin daher nicht sicher, wie viele Administratoren auf Hotpatching setzen, zumal es in der Vergangenheit immer wieder Ärger mit der Funktion gab. Denn das Ganze ist recht komplex und jetzt gibt es bei bestimmten Maschinen wieder Ärger.
WSUS-Schwachstelle CVE-2025-59287 und OOBE-Update
In allen Windows Server-Versionen, auf denen der Windows Server Update Services (WSUS) installiert ist, wurde von Microsoft zum zum 14. Oktober 2025 die kritische RCE- Schwachstelle CVE-2025-59287 gepatcht. Zum 23. Oktober 2025 musste Microsoft dann ein Notfall-Update (Out-of-Band-Update) zum beseitigen der Schwachstelle nachschießen.
Ich hatte im Blog-Beitrag Windows Server: Out-of-Band Updates für WSUS-Schwachstelle CVE-2025-59287 (23.10.2025) über dieses OOBE-Update berichtet. Die zeitnahe Installation dieses Updates ist wichtig, denn die Schwachstelle wird aktiv angegriffen, wie ich im Beitrag WSUS-Schwachstelle CVE-2025-59287 wird angegriffen berichtete.
OOBE-Update KB5070881 stört Hotpatching
Microsoft hat nun im Supportbeitrag für das Out-of-Band-Update KB5070881 für Windows Server 2025 im Known Issues-Abschnitt ein neues bekanntes Problem aufgenommen (das ist hier aufgefallen). Im Support-Beitrag heißt es unter "Some machines enrolled for Hotpatch might temporarily lose Hotpatch status" dazu, dass dieses Update kurzzeitig allen Windows Server 2025-Systemen angeboten wurde. Dies sei unabhängig von deren Hotpatch-Registrierungsstatus geschehen.
Dadurch habe eine "sehr begrenzte Anzahl" von Hotpatch-registrierten Computern das Update erhalten, bevor das Problem behoben wurde. Bei diesen Computern ist der Hotpatch-Status durch das Update verloren gegangen. Dieses Problem betrifft nur Windows Server 2025-Geräte und virtuelle Maschinen (VMs), die für den Empfang von Hotpatch-Updates registriert sind.
Für Windows Server 2025-Systeme, die dieses Update heruntergeladen, aber noch nicht installiert haben gibt: Administratoren können unter Einstellungen > Windows Update die Option Updates anhalten wählen. Dann soll man die Unterbrechung aufheben und nach Updates suchen. Der Maschine wird das das richtige Update angeboten.
Windows Server 2025-Maschinen, auf denen dieses Update heruntergeladen und installiert wurde, sind nun aus dem Hotpatch-Zyklus ausgestiegen. Diese Maschinen erhalten im November und Dezember 2025 keine Hotpatch-Updates mehr. Stattdessen werden diesen Maschinen die regulären monatlichen Sicherheitsupdates angeboten, die einen Neustart des Geräts erfordern. Generell gilt folgendes:
- Das Update KB5070881 wird nach der Korrektur nur noch Windows Server 2025-Systemen angeboten, die nicht für den Empfang von Hotpatch-Updates registriert sind.
- Hotpatch-registrierten Windows Server 2025-Systemen, auf denen dieses Update noch nicht installiert wurde, wird zusätzlich zum geplanten Basis-Update für Oktober 2025 (KB5066835) das Sicherheitsupdate für Windows Server Update Services vom 24. Oktober 2025 (KB5070893) angeboten.
- Computer, auf denen KB5070893 installiert ist, bleiben "im Hotpatch-Zyklus" und erhalten auch im November und Dezember 2025 weiterhin Hotpatch-Updates.
- Nur Computer, auf denen WSUS aktiviert ist, werden nach der Installation des Sicherheitsupdates KB5070893 zum Neustart aufgefordert.
Nach der Installation der geplanten Baseline im Januar 2026 werden diesen Maschinen, die jetzt aus dem Hotpatch-Zyklus herausgefallen sind, wieder Hotpatch-Updates angeboten. Das nächste geplante Hotpatch-Update würde dann im Februar 2026 angeboten werden.
Ähnliche Artikel:
Windows Server: Out-of-Band Updates für WSUS-Schwachstelle CVE-2025-59287 (23.10.2025)
Windows Server 2025: Hotpatching ab 1. Juli 2025 kostenpflichtig
Windows 11 24H2 soll wohl "Hotpatching" (Update-Installation ohne Neustart) bekommen
Windows 11 24H2: Hotpatching nun verfügbar
MVP: 2013 – 2016
Das Hotpatching halte ich eher für eine Schnapsidee seitens Microsoft, im Endeffekt muss das Gerät so oder so irgendwann neu gestartet werden und braucht dann nur umso länger, um die Änderungen auch zu vervollständigen.
Ich würde sogar so weit gehen, dass es eher schädlich ist, da sich die Updates irgendwann überlagern werden und wenn ich mir so die Patches momentan so ansehe ist es glaube ich momentan sowieso besser sie vorerst mal auszusetzen.
Bis sich Microsoft bzw. die KI klar ist, wo der Fehler hängt.