close notice<\/p>\n
\n This article is also available in It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n \n Don\u2019t show this again.\n<\/p>\n Microsoft hat am Freitagmorgen dieser Woche Notfallpatches au\u00dfer der Reihe ver\u00f6ffentlicht, die eine kritische Sicherheitsl\u00fccke in den WSUS-Diensten schlie\u00dft. IT-Sicherheitsforscher haben erste Angriffe auf die Schwachstelle beobachtet. IT-Verantwortliche sollten sp\u00e4testens jetzt die Aktualisierung anwenden.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n Der IT-Sicherheitsforscher Kevin Beaumont hat mit der Schwachstelle „herumgespielt“ und kommt zu dem Ergebnis, dass die sich sehr einfach missbrauchen l\u00e4sst. Es war ofenbar leicht, SChadcode \u00fcber die L\u00fccke einzuschleusen. Dazu lasse sich zudem auf bereits existierende Forschung aufsetzen, um b\u00f6sartig manipulierte Update-Pakete mit Schadcode \u00fcber den kompromittierten WSUS im Netzwerk zu verteilen, schreibt er auf Mastodon. <\/p>\n Angriffe auf Sicherheitsl\u00fccke beobachtet<\/p>\n Die IT-Forscher von Huntress<\/a> haben derweil bereits Angriffe auf die WSUS-Sicherheitsl\u00fccke im Internet beobachtet. Die attackierten WSUS-Dienste haben die TCP-Ports 5830 und 5831 offen im Internet zug\u00e4nglich gemacht. „Die Angreifer nutzten exponierte WSUS-Endpunkte, um speziell pr\u00e4parierte Anfragen (mehrere POST-Aufrufe an WSUS-Webdienste) zu senden, die eine Deserialisierung-RCE [Remote Code Execution] gegen den Update-Dienst ausl\u00f6sten“, schreiben sie in ihrer Analyse. <\/p>\n Sie er\u00f6rtern weiter, dass ein Base64-kodiertes Skript in PowerShell dekodiert und ausgef\u00fchrt wurde. Das Skript durchsucht Server nach sensiblen Netzwerk- und Benutzerinformationen auf und \u00fcbertr\u00e4gt die Ergebnisse in einen Remote-Webhook. Die Angreifer setzten zudem auf Proxy-Netze, um ihre Angriffe auszuf\u00fchren und verschleiern, erkl\u00e4ren die Huntress-Forscher. <\/p>\n Die Analyse listet noch einige Indizien f\u00fcr Angriffe (Indicators of Compromise, IOCs) auf, anhand derer Admins pr\u00fcfen k\u00f6nnen, ob auch die von ihnen betreuten Systeme bereits im Visier von Cyberkriminellen sind. Dazu z\u00e4hlen einige auff\u00e4llige Eintr\u00e4ge in den Weblogs und WSUS-Protokollen zur Softwareverteilung. <\/p>\n Weiterlesen nach der Anzeige<\/p>\n Am Freitagmorgen hat Microsoft die Verteilung der Notfallupdates f\u00fcr die WSUS-Dienste<\/a> angek\u00fcndigt. Die konkrete Beschreibung lautet: „Die Deserialisierung nicht vertrauensw\u00fcrdiger Daten im Windows Server Update Service erm\u00f6glicht es einem nicht autorisierten Angreifer, Code \u00fcber ein Netzwerk auszuf\u00fchren“ (CVE-2025-59287, CVSS 9.8<\/strong>, Risiko „kritisch<\/strong>„). Die Sicherheitsmeldung dazu von Microsoft<\/a> wird derzeit h\u00e4ufiger aktualisiert Inzwischen stellt Microsoft auch Stand-alone-Updates etwa f\u00fcr Server bereit, die Hotpatching verwenden. Die ben\u00f6tigen nach Installation jedoch einen Neustart, sofern sie WSUS-Dienste anbieten.<\/p>\n
\n English<\/a>.<\/p>\n