Windows Server: Kritische WSUS-Sicherheitslücke wird nun ausgenutzt

Sicherheitsforscher melden eine aktive Ausnutzung einer kritischen Schwachstelle im Windows Server Update Services (WSUS). Die Sicherheitslücke ermöglicht Remotecodeausführung, es gibt aber schon ein Sicherheits-Update.

Kritische WSUS-Lücke aktiv ausgenutzt

Über das Problem berichteten wir bereits, doch nun ist die Ausnutzung der Schwachstelle bestätigt worden. Betroffen sind Windows Server, auf denen die WSUS-Serverrolle als Updatequelle für andere WSUS-Server eingerichtet ist - eine Option, die standardmäßig nicht aktiviert ist.

Microsoft hat am Donnerstag außerhalb des regulären Patch-Zyklus Notfall-Updates für alle betroffenen Windows-Server-Versionen veröffentlicht und Administratoren dringlich zum schnellen Einspielen der Patches aufgefordert. Wer die Patches nicht sofort einspielen kann, sollte die WSUS-Serverrolle vorübergehend deaktivieren, um die Angriffsfläche zu schließen.

Wurmartige Verbreitung befürchtet

Die Gefahr ist hoch. Angreifer können die Schwachstelle aus der Ferne mit geringem Aufwand ausnutzen, ohne sich anzumelden oder Nutzerinteraktion zu benötigen, und erhalten im Erfolgsfall volle System-Rechte. Unter solchen Bedingungen wäre eine Ausbreitung von Server zu Server denkbar - also ein potenziell "wurmartiges" Szenario, das Unternehmen ernst nehmen müssen.

Konkrete Angriffe und Scans wurden bereits registriert, das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt zudem eindringlich. Das niederländische Unternehmen Eye Security beobachtete am Morgen des 24. Oktober erste Scan- und Exploitversuche und fand bei einer Internetrecherche weltweit rund 2.500 öffentlich erreichbare WSUS-Instanzen, davon etwa 250 in Deutschland und rund 100 in den Niederlanden.

Immer mehr Ausnutzungen erkannt

Auch die US-Firma Huntress meldet aktive Angriffsversuche ab dem 23. Oktober gegen Systeme mit offenem Standard-Port (8530/8531) und dokumentiert Fälle, in denen nach der Kompromittierung ein PowerShell-Befehl zur internen Aufklärung ausgeführt und die Ergebnisse an einen Webhook gesendet wurden.

Forschergruppen haben in den vergangenen Tagen Proof-of-Concept-Code veröffentlicht. Die Verfügbarkeit solcher Demonstrationen erhöht das Risiko schneller Verbreitung und Nachahmung durch andere Angreifer. Wer WSUS-Server betreibt, sollte daher zeitnah reagieren, bevor Angreifer die Möglichkeit zur Eskalation oder lateralen Bewegung im Netzwerk nutzen.


Siehe auch: