Microsoft hat am Abend des 23. Oktober (US-Westküstenzeit) ein Out-of-Band-Update veröffentlicht, um eine Sicherheitslücke in der WSUS-Berichtskomponente zu schließen. Die Schwachstelle (CVE-2025-59287) betrifft ausschließlich Server, auf denen die WSUS-Rolle aktiviert ist. Systeme ohne diese Komponente gelten als nicht gefährdet.

Laut Microsoft erlaubt die Lücke potenziell das Ausführen von Schadcode aus der Ferne und stellt damit ein erhebliches Risiko für Administrationsumgebungen dar, in denen WSUS für Patch-Management eingesetzt wird.

Das Update steht für mehrere Windows-Server-Versionen zur Verfügung, darunter Windows Server 2025, 23H2, 2022, 2019, 2016 sowie 2012 R2 und 2012. Microsoft weist darauf hin, dass das OOB-Update kumulativ ist – ältere Patches müssen daher nicht zuvor installiert werden. Wer das reguläre Oktober-Sicherheitsupdate noch nicht eingespielt hat, sollte direkt zu dieser Version greifen. Nach der Installation ist ein Neustart des Systems erforderlich.

Da bereits ein Proof-of-Concept für das Ausnutzen der Sicherheitslücke kursiert, sollten Admins das Update zeitnah ausrollen, um potenzielle Angriffe auf verwundbare WSUS-Instanzen zu verhindern. WSUS bildet in vielen Unternehmensnetzwerken die zentrale Update-Infrastruktur, wodurch eine erfolgreiche Ausnutzung der Lücke schwerwiegende Folgen haben könnte – bis hin zur Kompromittierung des gesamten Server-Management-Systems.