Cyberkriminelle nutzen Schwachstelle in Microsoft WSUS aus
Angreifer machen sich eine Sicherheitslücke in Microsofts Windows Server Update Services zunutze. Laut einem Forschungsteam von Sophos seien sensible Daten von Unternehmen aus verschiedenen Branchen betroffen.
Cyberkriminelle nutzen eine Schwachstelle in Windows Server Update Services (WSUS) aus, um sensible Daten von Unternehmen zu entwenden. In einer Mitteilung erklärt die Sophos Counter Threat Unit (CTU), wie die Angreifer die Sicherheitslücke (CVE-2025-59287) zur Remotecodeausführung in WSUS missbrauchen.
Microsoft habe am 14. Oktober Patches für die betroffenen Server-Versionen herausgegeben. Laut Sophos analysierte daraufhin das Cybersecurity-Unternehmen "Hawktrace" die Sicherheitslücke und stellte einen Proof-of-Concept-Code auf Github bereit. Am 23. Oktober veröffentlichte Microsoft dann ein ausserplanmässiges Sicherheitsupdate.
Angriffe auf Microsoft WSUS
Sophos entdeckte gemäss Mitteilung am 24. Oktober den Missbrauch einer Sicherheitslücke bei mehreren Kundenumgebungen. Die Angreifer hätten es auf öffentliche WSUS-Server abgesehen, wobei Kunden aus verschiedenen Branchen betroffen seien. Es scheine sich dabei nicht um gezielte Angriffe zu handeln, ergänzt Sophos. Ob die Angreifer den öffentlich zugänglichen Proof-of-Concept verwendeten oder selbst einen Exploit entwickelten, sei noch unklar. Laut Bericht nutzten die Kriminellen zwei Befehle, um ein Powershell-Skript auszuführen. Der entschlüsselte Powershell-Befehl sammelte sensible Informationen und leitete diese an eine externe "Webhook.site"-Adresse weiter.
"Über die Sophos-Telemetrie haben wir bisher sechs Vorfälle eindeutig identifiziert, aber das dürfte nur die Spitze des Eisbergs sein. Weitere Untersuchungen identifizierten mindestens 50 Opfer, hauptsächlich in den USA, darunter Universitäten, Technologie-, Produktions- und Gesundheitsorganisationen", lässt sich Rafe Pilling, Director of Threat Intelligence bei der Sophos CTU zitieren. "Möglicherweise handelte es sich um eine erste Test- oder Aufklärungsphase, und die Angreifer analysieren nun die gesammelten Daten, um neue Angriffsmöglichkeiten zu identifizieren. Derzeit beobachten wir keine weiteren Massenangriffe, aber es ist noch zu früh, und die Sicherheitsverantwortlichen sollten dies als Frühwarnung betrachten."
Sophos empfiehlt Unternehmen, die WSUS verwenden, die Herstellerempfehlungen zu prüfen und gegebenenfalls Patches anzuwenden. Mit dem Internet verbundene WSUS-Server-Schnittstellen sollten identifiziert und verfügbare Protokolle auf Exploits überprüft werden. Mit Segmentierung und Filterung könne zusätzlich der Zugriff auf Ports und Dienste der benötigten Systeme beschränkt werden.
Auch in den früheren Versionen der Oracle E-Business Suite steckt eine Schwachstelle, die von Hackern ausgenutzt wird. Dabei handle es sich um eine nicht authentifizierte Server-Side Request Forgery (SSRF) in der Oracle Configurator-Laufzeitkomponente. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Armeechef wünscht sich Microsoft-Alternative für Gruppe Verteidigung
Meta10 übernimmt "Databaar"-Rechenzentrum
VBS verleiht Preis für "Cyber Start-up Challenge" an Pometry
Apple verkündet Rekordumsatz und optimistische Prognosen
Auch Vampire können vegan leben - sagt jedenfalls Morgan Freeman
ISE 2026: Die Pro-AV-Branche erhält einen Cybersecurity Summit
Was Mitarbeitende laut Die Ergonomen Usability am IT-Arbeitsplatz erwarten
Cyberkriminelle nutzen Schwachstelle in Microsoft WSUS aus
Nvidias Börsenwert knackt die Marke von 5 Billionen US-Dollar
