Schwachstelle in Windows Server Update Services wird aktiv ausgenutzt

CTU-Experten von Sophos und andere Sicherheitsforscher empfehlen, umgehend zu handeln. Computing hat Tipps für Sie zusammengestellt.

Bildquelle: GettyImages

Forscher der Sophos Counter Threat Unit (CTU) haben aufgedeckt, wie Angreifer eine Schwachstelle in Windows Server Update Services (WSUS) ausnutzen, um sensible Daten von Unternehmen zu stehlen. Die Experten untersuchen die Ausnutzung einer Sicherheitslücke (CVE-2025-59287) zur Remotecodeausführung im Windows Server Update Service (WSUS) von Microsoft, einem systemeigenen IT-Verwaltungstool für Windows-Systemadministratoren.

Am 14. Oktober 2025 veröffentlichte Microsoft Patches für die betroffenen Windows Server-Versionen. Nach der Veröffentlichung einer technischen Analyse von CVE-2025-59287 und der Bereitstellung eines Proof-of-Concept-Codes (PoC) auf GitHub veröffentlichte Microsoft am 23. Oktober ein weiteres – außerplanmäßiges – Sicherheitsupdate.

Schon einen Tag später, am 24. Oktober, entdeckten die Sicherheitsforscher von Sophos den Missbrauch einer kritischen Lücke in mehreren Kundenumgebungen. Die Angriffswelle, die sich über mehrere Stunden erstreckte und auf öffentlich zugängliche WSUS-Server abzielte, betraf Kunden verschiedenster Branchen und schien kein gezielter Angriff zu sein. Es ist unklar, ob die Angreifer den öffentlich verfügbaren Proof-of-Concept nutzten oder einen eigenen Exploit entwickelten.

„Diese Aktivität zeigt, dass Angreifer schnell gehandelt haben, um diese kritische Schwachstelle in WSUS auszunutzen und wertvolle Daten von gefährdeten Organisationen zu sammeln”, sagt Rafe Pilling, Director of Threat Intelligencebei der Sophos Counter Threat Unit. “Über die Sophos-Telemetrie haben wir bisher sechs Vorfälle eindeutig identifiziert, aber das dürfte nur die Spitze des Eisbergs sein. Weitere Untersuchungen identifizierten mindestens 50 Opfer, hauptsächlich in den USA, darunter Universitäten, Technologie-, Produktions- und Gesundheitsorganisationen. Möglicherweise handelte es sich um eine erste Test- oder Aufklärungsphase, und die Angreifer analysieren nun die gesammelten Daten, um neue Angriffsmöglichkeiten zu identifizieren. Derzeit beobachten wir keine weiteren Massenangriffe, aber es ist noch zu früh, und die Sicherheitsverantwortlichen sollten dies als Frühwarnung betrachten. Organisationen sollten sicherstellen, dass ihre Systeme vollständig gepatcht sind und die WSUS-Server sicher konfiguriert sind, um das Risiko eines Angriffs zu minimieren.“

Die CTU-Forscher empfehlen Unternehmen, die Herstellerwarnung zu beachten und die Patches sowie die Anweisungen zur Behebung der Schwachstelle umgehend anzuwenden.

Was ist WSUS und warum ist es so kritisch, schnell zu handeln?

Ein WSUS-Server ist eine Windows-Server-Rolle. Sie ist essentiell für die Verteilung von Microsoft-Produktupdates und die zentrale Verwaltbarkeit. Über einen WSUS-Server beziehen Organisationen Updates von Microsoft und stellen sie für die Computer im Netzwerk zur Installation bereit. Zu den Vorteilen gehören unter anderem die Möglichkeit, Updates vor der Bereitstellung zu testen, und die Kontrolle, wann und welche Updates verteilt werden.

Ein großer Nachteil ist die exponierte Lage von WSUS-Servern. Das ist notwendig, weil der Dienst eine Schnittstelle zu externen Diensten und Dienstleistern (Microsoft selbst oder Microsoft-Partner) darstellt.

Prinzipiell sollte WSUS in einer sogenannten demilitarisierten Zone betrieben werden. Ist das nicht der Fall oder sind diese falsch konfiguriert, können die Server aus dem öffentlichen Netz (Internet) erreicht (und ggf. manipuliert) werden.

Weitere Risiken sind Fehlkonfigurationen des Dienstes selbst, mangelhafte Überwachung der Dienste und Verbindungen, fehlende oder fehlerhaft durchgesetzte Rollen- und Berechtigungskonzepte, fehlerhaftes Identitätsmanagement, z. B. keine Trennung von privilegierten Rollen (IAM/PAM) oder auch fehlende bzw. mangelhafte Integritäts-Checks.

Was können Unternehmen tun?

Neben einer gesunden Patch-Hygiene, strikten Rollen- und Berechtigungskonzepten, Zero Trust und dem Einsatz von modernen Überwachungs- und Filterwerkzeugen sind Pentrationtests ein wirksames Instrument. Automatisiert überprüfen sie eine IT-Services-Landschaft permanent auf potentielle Angriffsflächen und stellen Hinweise zu Mitigationsmaßnahmen zur Verfügung.

Ein weiterer – aufwändigerer – Ansatz sind sogenannte Drehstuhlschnittstellen. Hierbei werden Dienste wie WSUS physisch vom eigentlichen Netzwerk getrennt. Es gibt einen externen und einen internen Dienst. Updates werden via Wechselmedium vom externen WSUS-Server auf den internen übertragen. Vor dem Einspielen auf den internen Server können z. B. in einer Sandbox-Umgebung Updates geprüft werden.

Mehr Informationen zum Angriff und zu Soforthilfemaßnahmen gibt es in Blogbeiträgen von Sophos und XM Cyber. Fidelis Security hat eine Übersicht betroffener WSUS-Versionen zusammengestellt und beschreibt das Angriffsszenario visuell.

Image
Description
Wie funktioniert der CVE-2025-59287-Exploit? (Bildquelle: Fidelis Security)