• In Microsofts Windows Server Update Services (WSUS) steckt eine Remote-Code-Execution-Schwachstelle, die Angreifern ohne Authentifizierung Code mit System-Rechten ermöglicht.

• Microsoft hat am 14. Oktober 2025 ein erstes Patch-Set veröffentlicht und am 23. Oktober ein zusätzliches außerplanmäßiges Sicherheitsupdate nachgeschoben.

• Kurz nach der Veröffentlichung von Analyse und Proof-of-Concept wurde die Lücke in mehreren Unternehmen aktiv ausgenutzt.

• Angreifer missbrauchen einen Deserialisierungsfehler in WSUS, um auf verwundbaren, internet-exponierten Servern PowerShell-Befehle auszuführen.

• Das eingesetzte Script sammelt u. a. externe IP und Port des Servers, AD-Domain-Benutzer sowie Netzwerkkonfigurationen und exfiltriert sie über Webhook-Dienste ins Internet.

• Über öffentlich einsehbare Webhook-Verläufe wurden Datendumps mehrerer Universitäten sowie Technologie‑, Fertigungs‑ und Healthcare-Organisationen identifiziert, überwiegend in den USA.

• Die so gewonnenen Informationen sind ideales Aufklärungsmaterial für Folgeschritte wie seitliche Bewegung, Privilege Escalation oder gezielte Ransomware-Angriffe.

• WSUS-Server sind zentrale Infrastruktursysteme – eine Kompromittierung hier bedeutet potenziell Zugriff auf große Teile der Windows-Umgebung.

• Viele WSUS-Instanzen sind mit Standard-Ports (8530/8531) direkt aus dem Internet erreichbar und damit leicht auffindbare Ziele.

• Patches und das Out-of-Band-Update für WSUS umgehend einspielen und die Herstellerhinweise genau befolgen.

• Prüfen, ob WSUS von außen erreichbar ist, und Zugriffe auf die wirklich notwendigen Systeme und Netze segmentieren bzw. filtern.

• Logs auf Anzeichen verdächtiger PowerShell-Ausführung, ungewöhnlicher WSUS-Anfragen und ausgehender HTTP-Requests zu Webhook-Diensten analysieren.

• Langfristig: Exponierte Admin-Dienste minimieren, Monitoring für „unauffällige“ Dienste wie WSUS etablieren und Incident-Response-Pläne regelmäßig testen.

WSUS darf nicht länger als „harmloser Update-Server“ betrachtet werden, sondern als kritische Infrastrukturkomponente mit hohem Angriffsprofil. Wer WSUS betreibt, sollte diese Kampagne als frühe Warnung verstehen – jetzt patchen, angreifbare Oberflächen reduzieren und Telemetrie genau beobachten, bevor aus Datensammlung ein vollwertiger Einbruch wird.

• In Microsofts Windows Server Update Services (WSUS) steckt eine Remote-Code-Execution-Schwachstelle, die Angreifern ohne Authentifizierung Code mit System-Rechten ermöglicht.

• Microsoft hat am 14. Oktober 2025 ein erstes Patch-Set veröffentlicht und am 23. Oktober ein zusätzliches außerplanmäßiges Sicherheitsupdate nachgeschoben.

• Kurz nach der Veröffentlichung von Analyse und Proof-of-Concept wurde die Lücke in mehreren Unternehmen aktiv ausgenutzt.

• Angreifer missbrauchen einen Deserialisierungsfehler in WSUS, um auf verwundbaren, internet-exponierten Servern PowerShell-Befehle auszuführen.

• Das eingesetzte Script sammelt u. a. externe IP und Port des Servers, AD-Domain-Benutzer sowie Netzwerkkonfigurationen und exfiltriert sie über Webhook-Dienste ins Internet.

• Über öffentlich einsehbare Webhook-Verläufe wurden Datendumps mehrerer Universitäten sowie Technologie‑, Fertigungs‑ und Healthcare-Organisationen identifiziert, überwiegend in den USA.

• Die so gewonnenen Informationen sind ideales Aufklärungsmaterial für Folgeschritte wie seitliche Bewegung, Privilege Escalation oder gezielte Ransomware-Angriffe.

• WSUS-Server sind zentrale Infrastruktursysteme – eine Kompromittierung hier bedeutet potenziell Zugriff auf große Teile der Windows-Umgebung.

• Viele WSUS-Instanzen sind mit Standard-Ports (8530/8531) direkt aus dem Internet erreichbar und damit leicht auffindbare Ziele.

• Patches und das Out-of-Band-Update für WSUS umgehend einspielen und die Herstellerhinweise genau befolgen.

• Prüfen, ob WSUS von außen erreichbar ist, und Zugriffe auf die wirklich notwendigen Systeme und Netze segmentieren bzw. filtern.

• Logs auf Anzeichen verdächtiger PowerShell-Ausführung, ungewöhnlicher WSUS-Anfragen und ausgehender HTTP-Requests zu Webhook-Diensten analysieren.

• Langfristig: Exponierte Admin-Dienste minimieren, Monitoring für „unauffällige“ Dienste wie WSUS etablieren und Incident-Response-Pläne regelmäßig testen.

WSUS darf nicht länger als „harmloser Update-Server“ betrachtet werden, sondern als kritische Infrastrukturkomponente mit hohem Angriffsprofil. Wer WSUS betreibt, sollte diese Kampagne als frühe Warnung verstehen – jetzt patchen, angreifbare Oberflächen reduzieren und Telemetrie genau beobachten, bevor aus Datensammlung ein vollwertiger Einbruch wird.