Er wordt momenteel misbruik gemaakt van een ernstige kwetsbaarheid in de Windows Server Update Service (WSUS), waarvoor al bewijs van conceptuele exploitcode openbaar is gemaakt.

Geregistreerd als CVE-2025-59287, treft dit lek voor uitvoering van externe code (RCE) alleen Windows-servers met de WSUS Server-rol ingeschakeld. Deze functie, die niet standaard is geactiveerd, dient als updatesource voor andere WSUS-servers binnen de organisatie.

Cybercriminelen kunnen deze kwetsbaarheid op afstand uitbuiten met aanvallen die weinig complexiteit vereisen. Dit kan zonder extra rechten of gebruikersinteractie, waardoor schadelijke code met SYSTEEM-rechten kan worden uitgevoerd. Onder deze omstandigheden kan het lek ook mogelijk overspringen tussen WSUS-servers.

Donderdag heeft Microsoft buitengewone beveiligingsupdates vrijgegeven voor alle getroffen Windows Server-versies om CVE-2025-59287 uitgebreid aan te pakken en adviseerde IT-beheerders deze zo snel mogelijk te installeren:

Microsoft deelde ook tijdelijke oplossingen voor beheerders die de noodpatches niet onmiddellijk kunnen toepassen, zoals het uitschakelen van de WSUS Server-rol op kwetsbare systemen om de aanvalsvector te verwijderen.

Afgelopen weekend bracht cybersecuritybedrijf HawkTrace Security bewijs van conceptuele exploitcode voor CVE-2025-59287 uit die geen willekeurige commando-uitvoering toestaat.

Mislukte aanvallen

Het Nederlandse cybersecuritybedrijf Eye Security meldde eerder vandaag al pogingen tot scannen en exploitatie te hebben waargenomen, waarbij minstens één systeem van een klant werd geïnfiltreerd met een andere exploit dan die van HawkTrace afgelopen weekend.

Hoewel WSUS-servers meestal niet online worden blootgesteld, vond Eye Security ongeveer 2.500 gevallen wereldwijd, waaronder 250 in Duitsland en ongeveer 100 in Nederland.

Het Amerikaanse cybersecuritybedrijf Huntress vond ook bewijs van CVE-2025-59287-aanvallen die gericht waren op WSUS-instances met hun standaardpoorten (8530/TCP en 8531/TCP) die sinds donderdag 23 oktober online zijn blootgesteld.

“We verwachten beperkte exploitatie van CVE-2025-59287; WSUS stelt zelden poorten 8530 en 8531 bloot. Binnen ons partnernetwerk hebben we ongeveer 25 gevoelige hosts waargenomen,” meldde Huntress.

Bij de aanvallen die Huntress observeerde, voerden de bedreigers een PowerShell-opdracht uit die verkenning van het interne Windows-domein uitvoerde, wat vervolgens naar een webhook werd verzonden.

Deze gegevens omvatten de uitvoer van de volgende opdrachten:

• whoami – De momenteel ingelogde gebruikersnaam.
• net user /domain – Lijst van alle gebruikersaccounts in het Windows-domein.
• ipconfig /all – Geeft de netwerkinstellingen voor alle netwerkinterfaces weer.

Het Nationaal Cyber Security Centrum (NCSC-NL) bevestigde vandaag de bevindingen van de twee bedrijven en waarschuwde beheerders voor het verhoogde risico nu er al een PoC-exploit beschikbaar is.

“Het NCSC heeft van een betrouwbare partner vernomen dat exploitatie van de kwetsbaarheid met de identificatie CVE-2025-59287 is waargenomen op 24 oktober 2025,” waarschuwde het NCSC-NL in een advies op vrijdag.

“Het is niet gebruikelijk dat een WSUS-dienst openbaar toegankelijk is via internet. Er is nu openbare conceptuele code voor de kwetsbaarheid beschikbaar, wat het risico op exploitatie vergroot.”

Microsoft heeft CVE-2025-59287 geclassificeerd als “Meer kans op exploitatie,” wat aangeeft dat het een aantrekkelijk doelwit is voor aanvallers; echter, ze hebben hun advies nog niet bijgewerkt om actieve exploitatie te bevestigen.

Update 24 oktober, 13:51 EDT: Meer details toegevoegd over actieve exploitatie van Huntress Labs.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.