US-Behörden schlagen Alarm: Cyberkriminelle nutzen eine schwerwiegende Schwachstelle in Windows Server Update Services bereits aktiv aus. Gleichzeitig bleiben Exchange-Server ein bevorzugtes Ziel für Angreifer.

Die US-Cybersicherheitsbehörde CISA und weitere Sicherheitsorganisationen warnen diese Woche eindringlich vor akuten Bedrohungen für Microsoft-Infrastrukturen. Betroffen sind sowohl Windows Server Update Services (WSUS) als auch Exchange-Server – zwei zentrale Komponenten vieler Unternehmensnetzwerke.

WSUS-Schwachstelle wird bereits ausgenutzt

Eine kritische Sicherheitslücke in Windows Server Update Services bringt Unternehmen in akute Gefahr. Die als CVE-2025-59287 katalogisierte Schwachstelle ermöglicht Angreifern ohne Authentifizierung die Fernübernahme von Servern mit höchsten Systemrechten.

Das Problem: Microsofts regulärer Patch vom 14. Oktober konnte die Lücke nicht vollständig schließen. Deshalb veröffentlichte der Konzern am 23. Oktober ein außerplanmäßiges Sicherheitsupdate. Doch bereits wenige Stunden nach dessen Freigabe entdeckten Sicherheitsforscher erste Angriffe.

Die Bedrohung ist real und wächst täglich. Cyberkriminelle scannen das Internet systematisch nach ungeschützten WSUS-Servern und nutzen die Schwachstelle für ihre Zwecke. Einmal eingedrungen, führen sie schädliche PowerShell-Befehle aus und stehlen sensible Daten wie Active Directory-Benutzerlisten.

Mit einem CVSS-Score von 9,8 von 10 Punkten gilt die Lücke als kritisch. CISA reagierte umgehend und nahm CVE-2025-59287 am 24. Oktober in ihren Katalog bekannter ausgenutzer Schwachstellen auf.

Exchange-Server brauchen besseren Schutz

Parallel veröffentlichten CISA und die US-Sicherheitsbehörde NSA am 30. Oktober umfassende Sicherheitsrichtlinien für Microsoft Exchange-Server. Der Grund: Diese E-Mail-Systeme stehen weiterhin im Fadenkreuz von Hackern.

Die neuen Empfehlungen setzen auf einen mehrschichtigen Verteidigungsansatz. Besonders wichtig: die Einführung von Multi-Faktor-Authentifizierung und die Reduzierung der Angriffsfläche. Außerdem sollten Unternehmen veraltete Exchange-Server endgültig abschalten.

Warum das so wichtig ist: Viele Organisationen behalten alte Exchange-Server auch nach dem Umstieg auf Microsoft 365 in Hybridumgebungen. Diese ungepflegten Systeme werden schnell zum Sicherheitsrisiko. Für Exchange Server 2016 und 2019 endete am 14. Oktober der reguläre Support.

Doppelte Bedrohung für Unternehmen

Die Kombination aus aktiv ausgenutzer WSUS-Lücke und andauernden Exchange-Angriffen verschärft die Bedrohungslage erheblich. WSUS-Server sind dabei besonders attraktive Ziele: Wer sie kompromittiert, kann Malware als vermeintlich legitime Microsoft-Updates in ganze Netzwerke einschleusen.

Exchange-Server waren bereits in der Vergangenheit Ziel spektakulärer Angriffe. Die berüchtigten ProxyLogon- und ProxyShell-Schwachstellen verursachten millionenschwere Schäden. Die neuen CISA-Richtlinien zeigen: Auch beim Umstieg in die Cloud dürfen Unternehmen ihre lokale Infrastruktur nicht vernachlässigen.

Experten bemängeln, dass viele Organisationen Tools wie WSUS stiefmütterlich behandeln. Dabei machen gerade diese oft übersehenen Systeme Hackern das Leben leicht.

Sofortmaßnahmen erforderlich

Administratoren müssen jetzt handeln. Bei WSUS heißt das: alle Server mit aktivierter WSUS-Rolle identifizieren und Microsofts Notfall-Patch vom 23. Oktober umgehend installieren. CISA rät zusätzlich zur Überwachung verdächtiger Prozesse.

Für Exchange-Umgebungen steht eine gründliche Überprüfung der neuen Sicherheitsrichtlinien an. Multi-Faktor-Authentifizierung und aktuelle Updates sind Pflicht. Unternehmen mit Exchange 2016 und 2019 müssen Extended Security Updates kaufen oder schnell auf unterstütze Versionen migrieren.

Die Botschaft der Sicherheitsbehörden ist eindeutig: Nur durch kontinuierliche Überwachung und Härtung kritischer Systeme bleiben Unternehmen den sich ständig weiterentwickelnden Cyberbedrohungen einen Schritt voraus.