Schwachstelle bei Windows Server Update Services im Visier der Cyberkriminellen

von am Kein Kommentar

Forscher der Sophos Counter Threat Unit (CTU) haben aufgedeckt, wie Angreifer eine Schwachstelle in Windows Server Update Services (WSUS) ausnutzen, um sensible Daten von Unternehmen zu stehlen. Die Experten untersuchen die Ausnutzung einer Sicherheitslücke (CVE-2025-59287) zur Remotecodeausführung im Windows Server Update Service (WSUS) von Microsoft, einem systemeigenen IT-Verwaltungstool für Windows-Systemadministratoren. Am 14. Oktober 2025 veröffentlichte Microsoft Patches für die betroffenen Windows Server-Versionen. Nach der Veröffentlichung einer technischen Analyse von CVE-2025-59287 und der Bereitstellung eines Proof-of-Concept-Codes (PoC) auf GitHub veröffentlichte Microsoft am 23. Oktober ein außerplanmäßiges Sicherheitsupdate.

Am 24. Oktober entdeckte Sophos den Missbrauch einer kritischen Lücke in mehreren Kundenumgebungen. Die Angriffswelle, die sich über mehrere Stunden erstreckte und auf öffentlich zugängliche WSUS-Server abzielte, betraf Kunden verschiedenster Branchen und schien kein gezielter Angriff zu sein. Es ist unklar, ob die Angreifer den öffentlich verfügbaren Proof-of-Concept nutzten oder einen eigenen Exploit entwickelten.

„Diese Aktivität zeigt, dass Angreifer schnell gehandelt haben, um diese kritische Schwachstelle in WSUS auszunutzen und wertvolle Daten von gefährdeten Organisationen zu sammeln. Über die Sophos-Telemetrie haben wir bisher sechs Vorfälle eindeutig identifiziert, aber das dürfte nur die Spitze des Eisbergs sein. Weitere Untersuchungen identifizierten mindestens 50 Opfer, hauptsächlich in den USA, darunter Universitäten, Technologie-, Produktions- und Gesundheitsorganisationen. Möglicherweise handelte es sich um eine erste Test- oder Aufklärungsphase, und die Angreifer analysieren nun die gesammelten Daten, um neue Angriffsmöglichkeiten zu identifizieren. Derzeit beobachten wir keine weiteren Massenangriffe, aber es ist noch zu früh, und die Sicherheitsverantwortlichen sollten dies als Frühwarnung betrachten. Organisationen sollten sicherstellen, dass ihre Systeme vollständig gepatcht sind und die WSUS-Server sicher konfiguriert sind, um das Risiko eines Angriffs zu minimieren.“ – Rafe Pilling, Director of Threat Intelligencebei der Sophos Counter Threat Unit  

Die CTU-Forscher empfehlen Unternehmen, die Herstellerwarnung zu beachten und die Patches sowie die Anweisungen zur Behebung der Schwachstelle umgehend anzuwenden.

Mehr Infos gibt es im englischen Blogbeitrag mit Details zu den Erkenntnissen. Für ein persönliches Gespräch organisieren wir gerne ein Gespräch mit einem der CTU-Experten.

Schwachstelle bei Windows Server Update Services im Visier der Cyberkriminellen hinzugefügt von am
Alle Beiträge von Redaktion →

verwandte Themen:

Schwerwiegende Schwachstelle im Microsoft Team Foundation Server
Auf IT-Sicherheitskonferenz IT-Defense erstmals gezeigt...

Log4Shell Reloaded: Angreifer nutzen die Schwachstelle für dauerhaften Server-Zugang
Forscher der SophosLabs entdeckten drei Hintertüren und vier Cryptominer, die auf ungepatchte VMware Horizon Server zielen, um dauerhaft Zugang zu erlangen...

BackupChain Backup Software, Veeam Konkurrent, veröffentlicht Update für Windows Server 2025
FastNeuron, Entwickler der BackupChain Backup Software für KMUs, MSPs und IT-Profis, gibt die Veröffentlichung eines Software-Updates für Windows Server 2025 bekannt....

Windows-Lücke in Remote Desktop Services
Für das Microsoft-Betriebssystem Windows besteht eine kritische Schwachstelle im Remote-Desktop-Protocol-Dienst (RDP). Angreifer nutzen die Schwachstelle aus der Ferne, ohne dass der User handeln muss. Die Schadsoftware verbreitet sich selbständig und wurmartig. Von CVE-2019-0708 betroffen sind alle Windows Client und Windows Server Versionen bis und mit Windows 7 sowie Windows Server 2008. Ausnahmen sind Windows 8 und 10. Empfehlung von BitHawk AG […]...

Zero-Day-Schwachstelle PrintNightmare: Sicherheit von Windows-Geräten gefährdet
Der Druckspoolerdienst von Windows ist aufgrund einer ungepatchten Sicherheitslücke bei vielen Geräten aktuell ein Angriffspunkt für einen öffentlich gewordenen Exploit-Code (https://www.heise.de/news/PrintNightmare-Schadcode-Luecke-in-Windows-bedroht-ganze-Netzwerke-6124838.html). Dabei kann dieser Schadcode aufgrund der Sicherheitslücke in der Druckwarteschlange (https://www.silicon.de/41685106/beispielcode-fuer-ungepatchte-windows-sicherheitsluecke-durchgesickert) in das System eindringen. Auf diesem Weg ist es böswilligen Akteuren möglich, remote Windows-Versionen zu kompromittieren und auf ihnen Code mit Systemrechten auszuführen. […]...