Aanvallers misbruiken kwetsbaarheid in Windows Server Update Services - update

In dit artikel:

Een kritieke lek in Windows Server Update Services (WSUS) wordt actief misbruikt, meldt het Nederlandse beveiligingsbedrijf Eye Security nadat een klant gehackt bleek. De kwetsbaarheid (CVE-2025‑59287) maakt het mogelijk voor aanvallers om op afstand code uit te voeren met beheerdersrechten op systemen waarop WSUS draait — mits die servers direct vanaf het internet bereikbaar zijn.

Eye Security ontdekte na de incidentmelding dat de getroffen klant een publiek bereikbaar subdomein had voor WSUS. Een eerste scan door het bedrijf vond ongeveer 8.000 WSUS‑servers die vanaf internet toegankelijk zijn; of al deze systemen daadwerkelijk te exploiteren zijn kon Eye Security niet controleren. Microsoft heeft vanwege de ernst van het probleem een out‑of‑band noodpatch uitgebracht (KB5070883). Deze aanvullende update moet bovenop de reguliere Patch‑Tuesday‑update van 14 oktober worden geïnstalleerd, aangezien die eerdere fix de kwetsbaarheid niet volledig dichtte. Het Nationaal Cyber Security Centrum (NCSC) adviseert beheerders eveneens snel te patchen.

De urgentie nam toe nadat publieke proof‑of‑conceptcode verscheen (onder meer door Hawktrace) en een vertrouwde partner van het NCSC misbruik in het wild rapporteerde. Eye Security heeft het NCSC geïnformeerd en corrigeerde in een latere update dat het om de WSUS‑server van een klant ging, niet die van Eye zelf. Aanbevolen maatregelen zijn direct patchen, WSUS niet publiek bereikbaar maken en toegang beperken achter firewalls of VPN’s.