Thought Leadership
Forscher der Sophos Counter Threat Unit (CTU) haben eine Angriffswelle entdeckt, bei der Cyberkriminelle gezielt die Sicherheitslücke in Microsofts Windows Server Update Services (WSUS) ausnutzen.
Über die Schwachstelle (CVE-2025-59287) konnten Angreifer in Unternehmensnetzwerke eindringen und sensible Daten abgreifen.
WSUS ist ein zentrales Werkzeug für Administratoren, um Windows-Systeme innerhalb eines Unternehmens mit Updates zu versorgen. Durch die nun aufgedeckte Schwachstelle war es möglich, Schadcode aus der Ferne auszuführen. Betroffen waren mehrere Versionen von Windows Server, für die Microsoft am 14. Oktober 2025 ein Sicherheitsupdate veröffentlichte.
Nachdem ein Proof-of-Concept-Code öffentlich verfügbar gemacht wurde, reagierte Microsoft mit einem zusätzlichen Notfall-Update am 23. Oktober. Nur einen Tag später registrierte Sophos die ersten gezielten Angriffe auf ungeschützte Systeme.
Erste Angriffswelle binnen weniger Stunden
Laut den Sicherheitsexperten wurden innerhalb kurzer Zeit mehrere WSUS-Server weltweit attackiert. Die Angriffe richteten sich offenbar nicht gegen bestimmte Unternehmen, sondern trafen Organisationen verschiedener Branchen – darunter Universitäten, Technologieanbieter, Fertigungsbetriebe und Einrichtungen des Gesundheitswesens, vor allem in den USA.
Sophos konnte bislang mehrere bestätigte Vorfälle identifizieren, geht aber davon aus, dass die Dunkelziffer deutlich höher liegt. Hinweise deuten darauf hin, dass es sich möglicherweise um eine frühe Testphase handelte, bei der Daten zunächst gesammelt wurden, um spätere, gezieltere Angriffe vorzubereiten.
Dringender Handlungsbedarf für Administratoren
Die Sophos-Forscher warnen, dass trotz der veröffentlichten Patches viele Systeme noch immer verwundbar sein könnten – insbesondere, wenn WSUS-Server öffentlich erreichbar oder unsicher konfiguriert sind. Unternehmen sollten daher umgehend die von Microsoft bereitgestellten Updates installieren und ihre Systeme überprüfen.
Zusätzlich empfehlen die Experten, die Netzwerkarchitektur zu überprüfen, den Zugriff auf WSUS-Server zu beschränken und Sicherheitsprotokolle aktiv zu überwachen, um ungewöhnliche Aktivitäten frühzeitig zu erkennen.
Der aktuelle Vorfall verdeutlicht, wie schnell Cyberkriminelle neue Sicherheitslücken ausnutzen, sobald technische Details oder Beispielcodes öffentlich verfügbar sind. Für Unternehmen bedeutet dies, dass ein konsequentes Patch-Management und eine sichere Konfiguration zentraler Systeme unerlässlich bleiben, um gravierende Datenverluste oder Systemkompromittierungen zu verhindern.
