Aanvallers misbruiken kwetsbaarheid in Windows Server Update Services - update

Een recente kwetsbaarheid in Windows Server Update Services wordt misbruikt voor aanvallen. Het Nederlandse beveiligingsbedrijf Eye Security heeft zo'n aanval gedetecteerd. Nadat er proof-of-conceptcode openbaar werd en een noodpatch verscheen, is er nu misbruik in de praktijk.

De kwetsbaarheid waarmee kwaadwillenden binnenkomen in Windows-omgevingen zit in serversoftware van Microsoft waarmee beheerders Microsoft-software op hun systemen updaten. Windows Server Update Services biedt mogelijkheden voor het distribueren en terugdraaien van updates voor Windows-pc's en -servers. Eye Security meldt nu in een blogpost dat het eerder deze maand onthulde gat in WSUS in de praktijk wordt misbruikt. Een noodpatch is beschikbaar.

Aanvallers kunnen via de kwetsbaarheid (CVE-2025‑59287) op afstand eigen code uitvoeren met beheerdersrechten op Windows-servers die WSUS draaien. Voor misbruik van deze kwetsbaarheid moeten die systemen wel direct bereikbaar zijn vanaf het internet, wat doorgaans niet aan te raden is.

Nadat Eye Security een melding kreeg van een hackaanval op een klant, ontdekte het beveiligingsbedrijf dat de WSUS-server van die klant een subdomein had en daarop bereikbaar was vanaf het internet. Een eerste internetscan door Eye Security leverde zo'n 8000 WSUS‑servers op die toegankelijk zijn vanaf het internet. Het securitybedrijf geeft aan niet te kunnen controleren of die systemen daadwerkelijk kwetsbaar zijn.

Microsoft bracht vrijdag een noodpatch uit voor zijn WSUS-software. Deze zogeheten out‑of‑bandupdate (KB5070883) verscheen buiten de reguliere patchcyclus vanwege de ernst van de kwetsbaarheid. Die noodpatch volgt op een eerdere patch die de kwetsbaarheid niet goed dicht. Die kwam uit op de afgelopen Patch Tuesday, dinsdag 14 oktober. Beheerders moeten de noodpatch 'aanvullend op de Patch-Tuesday-update' installeren, adviseert het Nationaal Cyber Security Centrum van de Nederlandse overheid.

Het NCSC publiceerde dinsdag 14 oktober al een eerste bericht over deze kwetsbaarheid in WSUS. Het securityorgaan waarschuwde afgelopen vrijdag voor een verhoogd risico. Aanleiding voor die waarschuwing was het verschijnen van publieke proof‑of‑conceptcode, die bewijst dat een kwetsbaarheid valt te misbruiken. Securitybedrijf Hawktrace openbaarde woensdag poc-code voor deze kwetsbaarheid. Daarnaast meldde 'een vertrouwde partner' van het NCSC dat die het misbruik in de praktijk had waargenomen. Eye Security meldt in zijn blogpost dat het NCSC-NL heeft geïnformeerd.

Update, 11.13 uur – In het artikel stond aanvankelijk dat de WSUS-server van Eye Security een eigen subdomein had, maar dat betrof de WSUS-server van de klant die onder bescherming is van Eye. De blogpost waarin Eye schrijft dat het 'onze WSUS-server' snel verifieerde, wordt nu aangepast.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 27-10-2025 10:19
21 • submitter: stroopwaffle

27-10-2025 • 10:19

21

Submitter: stroopwaffle

Lees meer

Patch Tuesday-update lijkt localhost op Windows 11 onbereikbaar te maken
Patch Tuesday-update lijkt localhost op Windows 11 onbereikbaar te maken Nieuws van 17 oktober 2025
Laatste publieke Windows 10-update fixt 6 zerodays, 8 kritieke gaten en 158 bugs
Laatste publieke Windows 10-update fixt 6 zerodays, 8 kritieke gaten en 158 bugs Nieuws van 15 oktober 2025
Microsoft gaat PowerShell 2.0 verwijderen uit Windows
Microsoft gaat PowerShell 2.0 verwijderen uit Windows Nieuws van 5 juli 2025
Microsoft pusht Windows 10-upgrade naar Windows 7 en 8.1 Pro op Active Directory
Microsoft pusht Windows 10-upgrade naar Windows 7 en 8.1 Pro op Active Directory Nieuws van 14 januari 2016
Meer producten en artikelen
Besturingssystemen Beveiliging en antivirus Netwerk en systeembeheer Serversoftware Politiek en recht Microsoft Windows Cybercrime Cybersecurity Hack Security Update Windows update

Reacties (21)

-Moderatie-faq
21
21
9
1
0
12
Wijzig sortering

Sorteer op:

Weergave:
Slavy 27 oktober 2025 10:28
Hierbij de lijst met KBs:
Reageer
segil 27 oktober 2025 10:34
Voor misbruik van deze kwetsbaarheid moeten die systemen wel direct bereikbaar zijn vanaf het internet, wat doorgaans niet aan te raden is.
Dat is slechts 1 aanval vector. Van binnen de organisatie kan deze aanval nog steeds worden uitgevoerd. Bijvoorbeeld door een ontevreden medewerker, of een leverancier. En wellicht via een public wifi, als deze niet goed is afgeschermd.

@Tweakers @JaspB
Aanvallers kunnen via de kwetsbaarheid (CVE-2025‑59287) op afstand eigen code uitvoeren met beheerdersrechten op Windows-servers die WSUS draaien.
Wellicht een idee om een keertje een artikel te schrijven wat een aanvaller nu exact kan doen met zo'n lek? Neem bijvoorbeeld dit lek als voorbeeld en geef een paar voorbeelden wat iemand kan doen. Kan een aanvaller hiermee een domain account aanmaken en deze domain admin rechten geven? Of blijft dit beperkt tot deze ene server, om bijvoorbeeld wsus aan te vallen zonder dat de aanvaller enige rechten heeft richting het domain en andere servers? Kan je het vergelijken met een lokaal admin account op de server, die alleen maar iets op deze server kan doen, zonder rechten op het Windows domain? Of geeft dit toch meer mogelijkheden op het domain? Zomaar een paar vragen die mij te binnen schieten.
Reageer
stroopwaffle @segil27 oktober 2025 10:54
In dit geval krijgt de aanvaller rechten als SYSTEM (WSUS draait als NT AUTHORITY\SYSTEM), en kan dus alles doen op de server zelf: gebruikers toevoegen, backdoors installeren, credentials dumpen met bijvoorbeeld Mimikatz. Vanaf daar kan zo'n server gebruikt worden als springplank het netwerk in; meestal eerst om domain admin rechten te verkrijgen, daarna volgt, mits de aanvaller onopgemerkt blijft, narigheid zoals data exfiltratie en ransomware.
Reageer
segil @stroopwaffle27 oktober 2025 11:00
"meestal eerst om domain admin rechten te verkrijgen"

hoe gaat dat dan? Want dat lukt je niet zomaar. Volgens mij moet je daarvoor een andere exploit gebruiken, want een lokale gebruiker kan normaal gesproken geen domain account verkrijgen, laat staan die domain admin rechten geven.
Die credential dump is volgens mij alleen voor local accounts, toch? Want domain cached logon credentials gebruiken DCC2 encryption en dat is volgens mij moeilijk om te kraken. En dat zou dan ook alleen maar zin hebben als een domain admin account ooit heeft ingelogd op dit systeem (wat security wise geen best practice is).
Reageer
stroopwaffle @segil27 oktober 2025 11:13
And yet, Mimikatz dumpt vaak genoeg hashes (of nog plaintext wachtwoorden). Soms heeft een local account ook een tegenhanger in het AD, soms met hetzelfde wachtwoord... Vaak is een NTLM hash nog genoeg om remote in te loggen. Een andere manier is bijvoorbeeld Kerberoasting. Vaak zat zijn DCs nog kwetsbaar voor zaken als Print Nightmare of andere CVEs... Manieren genoeg.

Punt is, dit soort kwetsbaarheden (die WSUS) levert een gemotiveerde aanvaller eenvoudig een plek in het netwerk op. Vanaf daar is het, in mijn ervaring, niet een kwestie van of, maar wanneer de aanvaller DA rechten verkrijgt. Zeker ransomwaregroepen, of initial access brokers, misbruiken deze gaten.
edit:
DCC2 creds zitten niet in geheugen van lsass.exe maar registry als ik het me goed herinner. Zijn inderdaad lastiger te kraken dan een NTLM hash, maar als het een zwak wachtwoord is, dan heeft een aanvaller het alsnog snel te pakken.

[Reactie gewijzigd door stroopwaffle op 27 oktober 2025 11:14]

Reageer
segil @stroopwaffle27 oktober 2025 11:19
dat geloof ik graag, ik ben vooral benieuwd naar hoe zoiets in de praktijk gaat en hoe "eenvoudig" het is. Vandaar mijn suggestie richting Tweakers om daar eens een artikel aan te wijden.

Dat verklaart ook waarom bij mijn huidige opdrachtgever (Amerikaanse multinational) ze werken met TR2,TR1,TR0 accounts, deze wachtwoorden elke 8 uur verlopen en je 2FA nodig hebt voor een nieuw wachtwoord, TR0 accounts alleen gebruikt mogen worden op speciale laptops die 100% zitten dichtgetimmerd, met alleen toegang tot een jumserver en met 3FA beveiligd zijn, en bij elke verdachte activiteit je gelijk een Indiër aan de lijn hebt voor een verklaring. Security hier heeft zeer hoge aanzien.
Reageer
stroopwaffle @segil27 oktober 2025 11:23
Prachtig, dat klinkt precies als de omgeving die een ransomwareclub waarschijnlijk overslaat, want too much effort :)
Reageer
segil @stroopwaffle27 oktober 2025 11:27
toevallig is deze security bewustzijn het gevolg van een datalek van enkele jaren geleden en bijhorende schadevergoeding die in de 10tallen miljoenen liep.
Reageer
karelvandongen @segil27 oktober 2025 17:30
In c't magazine 9 van 2023 staat een mooi artikel, hoe je rechten uit kunt breiden wanneer je binnen bent. Vereiste wel hergebruik van wachtwoord, en een woordenboek met random voor verkrijgen eerste wachtwoord.
Reageer
segil @karelvandongen27 oktober 2025 20:32
ow tof, bedankt voor de tip. Die editie moet ik hier nog ergens hebben rondslingeren. En anders kan ik 'm ook digitaal lezen.
Reageer
Tweekzor @segil27 oktober 2025 11:19
Als iedereen alle best practices zou volgen zou je relatief weinig hebben aan een lokaal account. Maar vaak zat worden deze niet gevolgd. Zo kun je nog regelmatig omgevingen tegenkomen waar het lokale Administrator-account is geconfigureerd met hetzelfde wachtwoord voor de hele omgeving (geen LAPS). Daarnaast wordt het tiering model op relatief weinig plekken gebruikt waardoor domain admins vaak gebruikt worden voor beheer op dit soort servers.

Ook kunnen NTLM-hashes nog worden opgeslagen die je weer kunt gebruiken in pass-the-hash aanvallen naar andere systemen. En tot slot kun je malafide updates in de WSUS-server configureren die gepusht worden naar laptops in de omgeving. Die halen de update van de WSUS af en installeren deze, terwijl een aanvaller hier malware in heeft gestopt.
Reageer
kodak
@segil27 oktober 2025 11:53
Wat je stelt gaat vaak voor alle onveilige services op die in de lokale netwerken voor gebruikers bereikbaar zijn. Dat gaat dus om interne basisbeveiliging. En natuurlijk kunnen we dan stellen dat dit net zo belangrijk kan zijn als de externe basisbeveiliging niet op orde hebben. Alleen zijn er aan die externe kant miljarden anonieme internetgebruikers meer die in korte tijd hier problemen mee kunnen veroorzaken.

Daarom gaat het niet slechts om de aanvalsvectoren maar ook om de toegepaste beveiliging, mogelijkheden en verschillende kansen. Dit beveiligingsprobleem krijgt geen hoge inschaling als dat wel op orde is.
Reageer
Triblade_8472 27 oktober 2025 10:42
Mijn (niet via internet beschikbare) WSUS server heeft zichzelf van deze patch voorzien :Y)

Bizar dat er zoveel servers via internet bereikbaar zijn. Waarom zou iemand dit zo openlijk doen..?
Reageer
NBK @Triblade_847227 oktober 2025 11:00
Ik denk dat dit servers zijn die andere taken vervullen waarbij ze daarvoor wel direct bereikbaar moet zijn vanaf internet. (DMZ?) WSUS hoeft dan niet eens actief gebruikt worden maar zal wel aan staan en de Windows firewall staat misschien wel uit of is ieder geval verkeerd geconfigureerd.
Reageer
SirBlade @Triblade_847227 oktober 2025 12:04
Bij voorbeeld een WSUS server die updates doorstuurt naar laptops van mensen die zelfden of nooit op kantoor zijn en voor hun werkzaamheden geen VPN nodig hebben. Al zijn daar tegenwoordig betere oplossingen voor.
Reageer
SunnieNL
@SirBlade27 oktober 2025 16:49
'tegenwoordig'.... Daar zijn al minimaal 10-15 jaar betere oplossingen voor...
Reageer
theduke1989 27 oktober 2025 10:36
We kregen inderdaad van het weekend al van secops een email met daarin een remidiation uit te voeren deze week.

Dus deze week aan de slag.
Reageer
computerjunky 27 oktober 2025 11:53
Zal dit geblokkeerd worden als je standaard alle Microsoft servers blokkeert in je netwerk firewall?

Dat is wat ik doe tenzij een update noodzakelijk is. Te veel updates geven problemen en lossen niets relevants op.
Reageer
krakendmodem @computerjunky27 oktober 2025 13:59
Microsoft geeft zelf ook aan om die poorten dicht te zetten die WSUS gebruikt totdat de patch is geïnstalleerd. Dat komt een beetje op hetzelfde neer.
Reageer
ZinloosGeweldig @computerjunky27 oktober 2025 14:15
Lijkt erop dat je het hebt over uitgaande verbindingen naar Microsoft servers blokkeren.

Nee, dat zal je niet helpen.

Oke, het zal je helpen met de update die de kwetsbaarheid oplost blokkeren, dat wel :P

[Reactie gewijzigd door ZinloosGeweldig op 27 oktober 2025 14:15]

Reageer
FrostyPeet 27 oktober 2025 12:17
Offtopic

Ik ben als zendamateur ook in de digitale tak gedoken zoals voip telefoons aan www.hamsoverip.com te "haken". Het is werkelijk afschuwelijk hoe genadeloos de internet aanvallen zijn geworden. Dat bij een test of experiment een open (standaard)poort binnen minuten misbruikt wordt. Dat voor een normale gebruiker, niet eens een bedrijf of een instelling.

Had eerst nog zoiets van leuk om bijvoorbeeld een Clearnode/DMR hotspot o.i.d. aan internet te "hangen" maar ik zie er van af. Ik vrees dat mijn arme Raspberry PI binnen een uur gehackt zal zijn.

Je kan niets meer "open" aan internet hangen. Ook al is het gepatched, aanvallers zijn onaantastbaar en kunnen rustig weken/maanden testen hoe ze erin komen.
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq