Cyber-Kriminelle nutzen Schwachstelle bei Windows Server Update Services
30. Oktober 2025
Forscher der Sophos Counter Threat Unit (CTU) haben aufgedeckt, wie Angreifer eine Schwachstelle in Windows Server Update Services (WSUS) ausnutzen, um sensible Daten von Unternehmen zu stehlen. Die Experten untersuchen die Ausnutzung einer Sicherheitslücke (CVE-2025-59287) zur Remotecode-Ausführung im Windows Server Update Service (WSUS) von Microsoft. Am 14. Oktober 2025 veröffentlichte Microsoft Patches für die betroffenen Windows Server-Versionen. Nach der Veröffentlichung einer technischen Analyse von CVE-2025-59287 und der Bereitstellung eines Proof-of-Concept-Codes (PoC) auf GitHub veröffentlichte Microsoft am 23. Oktober ein außerplanmäßiges Sicherheits-Update.
Am 24. Oktober hat Sophos den Missbrauch einer kritischen Lücke in mehreren Kundenumgebungen entdeckt. Die Angriffswelle, die sich über mehrere Stunden erstreckte und auf öffentlich zugängliche WSUS-Server abzielte, betraf Kunden verschiedenster Branchen und schien kein gezielter Angriff zu sein. Es ist unklar, ob die Angreifer den öffentlich verfügbaren Proof-of-Concept nutzten oder einen eigenen Exploit entwickelten.
„Diese Aktivität zeigt, dass Angreifer schnell gehandelt haben, um diese kritische Schwachstelle in WSUS auszunutzen und wertvolle Daten von gefährdeten Organisationen zu sammeln. Über die Sophos-Telemetrie haben wir bisher sechs Vorfälle eindeutig identifiziert, aber das dürfte nur die Spitze des Eisbergs sein“, erklärt Rafe Pilling, Director of Threat Intelligence bei der Sophos Counter Threat Unit.
Weitere Untersuchungen identifizierten nach seiner Aussage mindestens 50 Opfer, hauptsächlich in den USA, darunter Universitäten, Technologie-, Produktions- und Gesundheitsorganisationen. Möglicherweise handelte es sich um eine erste Test- oder Aufklärungsphase, und die Angreifer analysieren nun die gesammelten Daten, um neue Angriffsmöglichkeiten zu identifizieren.
Derzeit beobachte man keine weiteren Massenangriffe, aber es sei noch zu früh, und die Sicherheitsverantwortlichen sollten dies als Frühwarnung betrachten. Organisationen sollten sicherstellen, dass ihre Systeme vollständig gepatcht und die WSUS-Server sicher konfiguriert sind, um das Risiko eines Angriffs zu minimieren. Die CTU-Forscher empfehlen Unternehmen zudem, die Herstellerwarnung zu beachten und die Patches sowie die Anweisungen zur Behebung der Schwachstelle umgehend anzuwenden.
