Microsoft hat am Freitagmorgen dieser Woche Notfallpatches außer der Reihe veröffentlicht, die eine kritische Sicherheitslücke in den WSUS-Diensten schließt. IT-Sicherheitsforscher haben erste Angriffe auf die Schwachstelle beobachtet. IT-Verantwortliche sollten spätestens jetzt die Aktualisierung anwenden.
Der IT-Sicherheitsforscher Kevin Beaumont hat mit der Schwachstelle "herumgespielt" und kommt zu dem Ergebnis, dass die sich sehr einfach missbrauchen lässt. Es war ofenbar leicht, SChadcode über die Lücke einzuschleusen. Dazu lasse sich zudem auf bereits existierende Forschung aufsetzen, um bösartig manipulierte Update-Pakete mit Schadcode über den kompromittierten WSUS im Netzwerk zu verteilen, schreibt er auf Mastodon.
Die IT-Forscher von Huntress haben derweil bereits Angriffe auf die WSUS-Sicherheitslücke im Internet beobachtet. Die attackierten WSUS-Dienste haben die TCP-Ports 5830 und 5831 offen im Internet zugänglich gemacht. "Die Angreifer nutzten exponierte WSUS-Endpunkte, um speziell präparierte Anfragen (mehrere POST-Aufrufe an WSUS-Webdienste) zu senden, die eine Deserialisierung-RCE [Remote Code Execution] gegen den Update-Dienst auslösten", schreiben sie in ihrer Analyse.
Sie erörtern weiter, dass ein Base64-kodiertes Skript in PowerShell dekodiert und ausgeführt wurde. Das Skript durchsucht Server nach sensiblen Netzwerk- und Benutzerinformationen auf und überträgt die Ergebnisse in einen Remote-Webhook. Die Angreifer setzten zudem auf Proxy-Netze, um ihre Angriffe auszuführen und verschleiern, erklären die Huntress-Forscher.
Die Analyse listet noch einige Indizien für Angriffe (Indicators of Compromise, IOCs) auf, anhand derer Admins prüfen können, ob auch die von ihnen betreuten Systeme bereits im Visier von Cyberkriminellen sind. Dazu zählen einige auffällige Einträge in den Weblogs und WSUS-Protokollen zur Softwareverteilung.
Am Freitagmorgen hat Microsoft die Verteilung der Notfallupdates für die WSUS-Dienste angekündigt. Die konkrete Beschreibung lautet: "Die Deserialisierung nicht vertrauenswürdiger Daten im Windows Server Update Service ermöglicht es einem nicht autorisierten Angreifer, Code über ein Netzwerk auszuführen" (CVE-2025-59287, CVSS 9.8, Risiko "kritisch"). Die Sicherheitsmeldung dazu von Microsoft wird derzeit häufiger aktualisiert Inzwischen stellt Microsoft auch Stand-alone-Updates etwa für Server bereit, die Hotpatching verwenden. Die benötigen nach Installation jedoch einen Neustart, sofern sie WSUS-Dienste anbieten.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare