Eine kritische Sicherheitslücke in den Windows Server Update Services (WSUS), bekannt als CVE-2025-59287, wird derzeit aktiv von Angreifern ausgenutzt. Mehrere Cybersicherheitsfirmen, darunter Google, bestätigen Angriffe auf Organisationen, obwohl Microsoft erst kürzlich einen Notfall-Patch veröffentlicht hat.
Die Schwachstelle ermöglicht es Angreifern, aus der Ferne Code auf betroffenen Systemen auszuführen, ohne sich authentifizieren zu müssen. Betroffen sind alle Windows Server Versionen von 2012 bis 2025, bei denen die WSUS-Rolle aktiviert ist.
Wichtige Erkenntnisse
- Eine kritische Sicherheitslücke (CVE-2025-59287) in Windows Server wird trotz eines Notfall-Patches aktiv ausgenutzt.
- Google hat eine neue Hackergruppe namens UNC6512 identifiziert, die die Lücke für Angriffe auf mehrere Organisationen nutzt.
- Experten schätzen, dass fast 500.000 Server mit WSUS-Dienst über das Internet erreichbar und potenziell gefährdet sind.
- Angreifer konzentrieren sich zunächst auf die Ausspähung von Netzwerken und den Diebstahl von Systeminformationen.
Alarmstufe Rot für Administratoren
Die Sicherheitslage um eine als kritisch eingestufte Schwachstelle in Microsofts Windows Server spitzt sich zu. Kurz nachdem Microsoft einen fehlerhaften Patch mit einem Notfall-Update korrigierte, begannen Cyberkriminelle, die Lücke systematisch auszunutzen. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat die Schwachstelle bereits in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen.
Die Lücke, die unter der Kennung CVE-2025-59287 geführt wird, betrifft die Windows Server Update Services (WSUS). Diese Komponente ist für die Verteilung von Updates in Unternehmensnetzwerken zuständig. Durch einen Fehler in der Verarbeitung von Daten können Angreifer ohne Zugangsdaten Schadcode auf den Servern ausführen.
Google identifiziert neue Hackergruppe
Das Threat Intelligence Team von Google bestätigte die aktive Ausnutzung der Schwachstelle. Demnach ist eine neu identifizierte Hackergruppe, die unter dem Namen UNC6512 geführt wird, für Angriffe auf mehrere Organisationen verantwortlich.
„Wir untersuchen aktiv die Ausnutzung von CVE-2025-59287 durch einen neu identifizierten Bedrohungsakteur, den wir als UNC6512 verfolgen, bei mehreren Opferorganisationen“, teilte die Google-Gruppe mit.
Nach dem ersten Zugriff auf ein System führt die Gruppe Befehle aus, um das kompromittierte Gerät und die Netzwerkumgebung auszuspionieren. Es wurde auch beobachtet, wie Daten von den betroffenen Systemen gestohlen wurden.
Das Ausmaß der Bedrohung
Experten warnen vor dem erheblichen Risiko, das von dieser Schwachstelle ausgeht. Obwohl Microsoft die Ausnutzung in seinen offiziellen Dokumenten noch nicht bestätigt hat, sprechen die Zahlen der Sicherheitsforscher eine deutliche Sprache.
Zahlen im Überblick
- Betroffene Versionen: Windows Server 2012 bis 2025
- Gefährdete Server: Fast 500.000 mit WSUS-Dienst, die über das Internet erreichbar sind
- Beobachtete Angriffsversuche: Rund 100.000 in den letzten sieben Tagen
Dustin Childs von der Zero Day Initiative bei Trend Micro berichtete von rund 100.000 erfassten Angriffsversuchen innerhalb der letzten Woche. „Aufgrund der Art des Fehlers erwarten wir, dass so gut wie jeder betroffene Server irgendwann angegriffen wird“, so Childs. Die Angriffe scheinen bisher wahllos und nicht auf bestimmte Branchen oder Regionen ausgerichtet zu sein.
Potenziell katastrophale Folgen
Die eigentliche Gefahr liegt in der Funktion von WSUS selbst. Ein kompromittierter Update-Server könnte von Angreifern missbraucht werden, um schädliche Software an alle angebundenen Computer in einem Unternehmensnetzwerk zu verteilen.
Was ist WSUS?
Die Windows Server Update Services (WSUS) sind eine Serverrolle in Windows Server, die es Administratoren ermöglicht, Microsoft-Produktupdates zentral zu verwalten und an Computer in einem Unternehmensnetzwerk zu verteilen. Anstatt dass jeder Computer einzeln Updates aus dem Internet herunterlädt, fungiert der WSUS-Server als lokaler Verteilerpunkt. Dies spart Bandbreite und gibt Unternehmen die Kontrolle darüber, welche Updates installiert werden.
Justin Moore, ein leitender Manager bei Palo Alto Networks' Unit 42, bezeichnete das Potenzial für nachgelagerte Schäden als „katastrophal“. Auch wenn WSUS-Server standardmäßig nicht direkt aus dem Internet erreichbar sein sollten, gibt es zahlreiche falsch konfigurierte Systeme, die ein leichtes Ziel darstellen.
Wie die Angreifer vorgehen
Die Analysen von Unit 42 zeigen ein klares Muster im Vorgehen der Angreifer. Sie zielen auf die Standard-Ports von WSUS, 8530 (HTTP) und 8531 (HTTPS), um sich Erstzugang zu verschaffen.
Sobald sie im System sind, führen sie eine Reihe von PowerShell-Befehlen aus, um Informationen zu sammeln. Dazu gehören:
whoami: Zeigt den aktuellen Benutzer an.net user /domain: Listet Benutzer in der Domäne auf.ipconfig /all: Zeigt detaillierte Netzwerkkonfigurationen an.
Die gesammelten Daten werden anschließend an einen von den Angreifern kontrollierten Server gesendet. Bisher wurde nur der Diebstahl von Systeminformationen beobachtet, doch Experten sind sich einig, dass dies nur die Vorbereitung für weitreichendere Angriffe ist.
Kritik an Microsofts Patch-Politik
Die Tatsache, dass der ursprüngliche Patch vom Oktober fehlerhaft war, sorgt für Unmut unter Sicherheitsexperten. Ein unvollständiger Patch wiege Administratoren in falscher Sicherheit, so die Kritik.
Dustin Childs von ZDI betonte: „Wenn der Patch die Schwachstelle nicht vollständig behebt, erhöht die Existenz eines Patches tatsächlich das Risiko für Unternehmen. Er führt dazu, dass die Leute denken, sie seien geschützt, obwohl sie es in Wirklichkeit nicht sind.“
Microsoft hat sich zu den Berichten über aktive Angriffe nicht geäußert und darauf hingewiesen, dass Sicherheitshinweise nach der Veröffentlichung in der Regel nicht aktualisiert werden, es sei denn, die ursprünglichen Informationen waren fehlerhaft. Administratoren wird dringend geraten, den neuesten Notfall-Patch umgehend zu installieren und zu überprüfen, ob ihre WSUS-Server unnötigerweise aus dem Internet erreichbar sind.
